vildanbina/laravel-entrust

此软件包提供了一种灵活的方式将基于角色的权限添加到Laravel中。

维护者

详细信息

github.com/vildanbina/laravel-entrust

源代码

问题

安装: 4

依赖者: 0

建议者: 0

安全: 0

星星: 0

关注者: 1

分支: 0

开放问题: 0

dev-master 2023-01-22 20:04 UTC

Requires

Requires (Dev)

MIT f8537c5dc53f185e08a3ca9924cfb02d46985621

  • Vildan Bina <vildanbina.woop@gmail.com>

authacllaravelpermissionrolesilluminate

This package is auto-updated.

Last update: 2024-09-22 23:35:14 UTC

README

Build Status Version License Total Downloads

SensioLabsInsight

Entrust 是一种简洁灵活的方法,可以将基于角色的权限添加到 Laravel 5

如果您正在寻找 Laravel 4 版本,请查看 分支 1.0。它包含 Laravel 4 的最新 entrust 版本。

内容

安装

  1. 为了安装 Laravel 5 Entrust,只需将以下内容添加到您的 composer.json 中。然后运行 composer update
"vildanbina/entrust": "5.2.x-dev"
  1. 打开您的 config/app.php 并将其添加到 providers 数组中
vildanbina\Entrust\EntrustServiceProvider::class,
  1. 在同一个 config/app.php 中,将其添加到 aliases 数组中
'Entrust'   => vildanbina\Entrust\EntrustFacade::class,
  1. 运行以下命令以发布软件包配置文件 config/entrust.php
php artisan vendor:publish
  1. 打开您的 config/auth.php 并将其添加到其中
'providers' => [
    'users' => [
        'driver' => 'eloquent',
        'model' => Namespace\Of\Your\User\Model\User::class,
        'table' => 'users',
    ],
],
  1. 如果您想使用 中间件(需要 Laravel 5.1 或更高版本),还需要将其添加到 routeMiddleware 数组中
    'role' => \vildanbina\Entrust\Middleware\EntrustRole::class,
    'permission' => \vildanbina\Entrust\Middleware\EntrustPermission::class,
    'ability' => \vildanbina\Entrust\Middleware\EntrustAbility::class,

app/Http/Kernel.php 中。

配置

config/auth.php 中设置属性值。这些值将被 entrust 用于引用正确的用户表和模型。

要进一步自定义表名和模型命名空间,请编辑 config/entrust.php

用户与角色的关系

现在生成 Entrust 迁移

php artisan entrust:migration

它将生成 <timestamp>_entrust_setup_tables.php 迁移。您现在可以运行它,使用 artisan migrate 命令

php artisan migrate

迁移后,将出现四个新表

  • roles — 存储角色记录
  • permissions — 存储权限记录
  • role_user — 存储角色和用户之间的多对多关系
  • permission_role — 存储角色和权限之间的多对多关系

模型

角色

app/models/Role.php 内创建一个 Role 模型,使用以下示例

<?php namespace App;

use vildanbina\Entrust\EntrustRole;

class Role extends EntrustRole
{
}

Role 模型有三个主要属性

  • name — 角色的唯一名称,用于在应用程序层中查找角色信息。例如:“admin”,“owner”,“employee”。
  • display_name — 角色的可读名称。不一定唯一,是可选的。例如:“用户管理员”,“项目所有者”,“Widget Co. 员工”。
  • description — 角色功能的更详细说明。也是可选的。

display_namedescription 都是可选的;它们的字段在数据库中是可空的。

权限

app/models/Permission.php 内创建一个 Permission 模型,使用以下示例

<?php namespace App;

use vildanbina\Entrust\EntrustPermission;

class Permission extends EntrustPermission
{
}

Permission 模型与 Role 模型具有相同的三个属性

  • name — 权限的唯一名称,用于在应用程序层中查找权限信息。例如:“create-post”,“edit-user”,“post-payment”,“mailing-list-subscribe”。
  • display_name — 权限的可读名称。不一定唯一,是可选的。例如:“创建文章”,“编辑用户”,“发布付款”,“订阅邮件列表”。
  • description — 权限的更详细说明。

通常,将最后两个属性视为一个句子可能有所帮助:“权限display_name允许用户description。”

用户

接下来,在现有的User模型中使用EntrustUserTrait特性。例如:

<?php

use vildanbina\Entrust\Traits\EntrustUserTrait;

class User extends Eloquent
{
    use EntrustUserTrait; // add this trait to your user model

    ...
}

这将启用与Role的关系,并在您的User模型中添加以下方法:roles()hasRole($name)withRole($name)can($permission)ability($roles, $permissions, $options)

别忘了导出composer自动加载

composer dump-autoload

现在您就可以开始了。

软删除

默认迁移利用了枢纽表中onDelete('cascade')子句在删除父记录时移除关系。如果出于某种原因您无法在数据库中使用级联删除,则EntrustRole和EntrustPermission类以及HasRole特性包含事件监听器以手动删除相关枢纽表中的记录。出于不意外删除数据的目的,事件监听器将不会删除枢纽数据,如果模型使用软删除。然而,由于Laravel事件监听器的限制,无法区分对delete()的调用与对forceDelete()的调用。因此,在强制删除模型之前,必须手动删除任何关系数据(除非您的枢纽表使用级联删除)。例如:

$role = Role::findOrFail(1); // Pull back a given role

// Regular Delete
$role->delete(); // This will work no matter what

// Force Delete
$role->users()->sync([]); // Delete relationship data
$role->perms()->sync([]); // Delete relationship data

$role->forceDelete(); // Now force delete will work regardless of whether the pivot table has cascading delete

用法

概念

让我们先创建以下RolePermission

$owner = new Role();
$owner->name         = 'owner';
$owner->display_name = 'Project Owner'; // optional
$owner->description  = 'User is the owner of a given project'; // optional
$owner->save();

$admin = new Role();
$admin->name         = 'admin';
$admin->display_name = 'User Administrator'; // optional
$admin->description  = 'User is allowed to manage and edit other users'; // optional
$admin->save();

接下来,在创建了这两个角色后,让我们将它们分配给用户。多亏了HasRole特性,这很容易:

$user = User::where('username', '=', 'michele')->first();

// role attach alias
$user->attachRole($admin); // parameter can be an Role object, array, or id

// or eloquent's original technique
$user->roles()->attach($admin->id); // id only

现在我们只需要将这些权限添加到这些角色中

$createPost = new Permission();
$createPost->name         = 'create-post';
$createPost->display_name = 'Create Posts'; // optional
// Allow a user to...
$createPost->description  = 'create new blog posts'; // optional
$createPost->save();

$editUser = new Permission();
$editUser->name         = 'edit-user';
$editUser->display_name = 'Edit Users'; // optional
// Allow a user to...
$editUser->description  = 'edit existing users'; // optional
$editUser->save();

$admin->attachPermission($createPost);
// equivalent to $admin->perms()->sync(array($createPost->id));

$owner->attachPermissions(array($createPost, $editUser));
// equivalent to $owner->perms()->sync(array($createPost->id, $editUser->id));

检查角色和权限

现在我们可以通过简单地执行以下操作来检查角色和权限:

$user->hasRole('owner');   // false
$user->hasRole('admin');   // true
$user->can('edit-user');   // false
$user->can('create-post'); // true

hasRole()can()都可以接收一个要检查的角色和权限数组

$user->hasRole(['owner', 'admin']);       // true
$user->can(['edit-user', 'create-post']); // true

默认情况下,如果用户有任何角色或权限,则该方法将返回true。传递true作为第二个参数指示方法检查所有项目

$user->hasRole(['owner', 'admin']);             // true
$user->hasRole(['owner', 'admin'], true);       // false, user does not have admin role
$user->can(['edit-user', 'create-post']);       // true
$user->can(['edit-user', 'create-post'], true); // false, user does not have edit-user permission

您可以为每个User拥有尽可能多的Role,反之亦然。

Entrust类为当前登录用户提供了对can()hasRole()的快捷方式

Entrust::hasRole('role-name');
Entrust::can('permission-name');

// is identical to

Auth::user()->hasRole('role-name');
Auth::user()->can('permission-name');

您也可以使用占位符(通配符)来检查任何匹配的权限

// match any admin permission
$user->can("admin.*"); // true

// match any permission about users
$user->can("*_users"); // true

要按特定角色筛选用户,您可以使用withRole()作用域,例如检索所有管理员

$admins = User::withRole('admin')->get();
// or maybe with a relationsship
$company->users()->withRole('admin')->get();

用户能力

可以使用出色的ability函数进行更高级的检查。它接受三个参数(角色、权限、选项)

  • roles是要检查的角色的集合。
  • permissions是要检查的权限的集合。

任一角色或权限变量可以是逗号分隔的字符串或数组

$user->ability(array('admin', 'owner'), array('create-post', 'edit-user'));

// or

$user->ability('admin,owner', 'create-post,edit-user');

这将检查用户是否有提供的任何角色和权限。在这种情况下,它将返回true,因为用户是admin并且有create-post权限。

第三个参数是选项数组

$options = array(
    'validate_all' => true | false (Default: false),
    'return_type'  => boolean | array | both (Default: boolean)
);
  • validate_all是一个布尔标志,用于设置是否检查所有值以返回true,还是如果至少匹配一个角色或权限则返回true。
  • return_type指定是否返回布尔值、检查值的数组或两者的数组。

以下是一个示例输出

$options = array(
    'validate_all' => true,
    'return_type' => 'both'
);

list($validate, $allValidations) = $user->ability(
    array('admin', 'owner'),
    array('create-post', 'edit-user'),
    $options
);

var_dump($validate);
// bool(false)

var_dump($allValidations);
// array(4) {
//     ['role'] => bool(true)
//     ['role_2'] => bool(false)
//     ['create-post'] => bool(true)
//     ['edit-user'] => bool(false)
// }

Entrust类为当前登录用户提供了对ability()的快捷方式

Entrust::ability('admin,owner', 'create-post,edit-user');

// is identical to

Auth::user()->ability('admin,owner', 'create-post,edit-user');

Blade 模板

有三个指令可供在Blade模板中使用。您提供的指令参数将直接传递给相应的Entrust函数。

@role('admin')
    <p>This is visible to users with the admin role. Gets translated to 
    \Entrust::role('admin')</p>
@endrole

@permission('manage-admins')
    <p>This is visible to users with the given permissions. Gets translated to 
    \Entrust::can('manage-admins'). The @can directive is already taken by core 
    laravel authorization package, hence the @permission directive instead.</p>
@endpermission

@ability('admin,owner', 'create-post,edit-user')
    <p>This is visible to users with the given abilities. Gets translated to 
    \Entrust::ability('admin,owner', 'create-post,edit-user')</p>
@endability

中间件

您可以使用中间件根据权限或角色过滤路由和路由组

Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() {
    Route::get('/', 'AdminController@welcome');
    Route::get('/manage', ['middleware' => ['permission:manage-admins'], 'uses' => 'AdminController@manageAdmins']);
});

可以使用管道符号作为OR运算符

'middleware' => ['role:admin|root']

要模拟AND功能,只需使用多个中间件实例

'middleware' => ['role:owner', 'role:writer']

对于更复杂的情况,请使用接受3个参数的ability中间件:roles(角色)、permissions(权限)、validate_all(验证所有)。

'middleware' => ['ability:admin|owner,create-post|edit-user,true']

简短语法路由过滤器

要按权限或角色过滤路由,您可以在您的app/Http/routes.php中调用以下代码:

// only users with roles that have the 'manage_posts' permission will be able to access any route within admin/post
Entrust::routeNeedsPermission('admin/post*', 'create-post');

// only owners will have access to routes within admin/advanced
Entrust::routeNeedsRole('admin/advanced*', 'owner');

// optionally the second parameter can be an array of permissions or roles
// user would need to match all roles or permissions for that route
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'));
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));

这两种方法都接受第三个参数。如果第三个参数为null,则禁止访问的返回将是App::abort(403),否则将返回第三个参数。所以您可以使用它如下:

Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));

此外,这两种方法还接受第四个参数。它默认为true,并检查所有提供的角色/权限。如果将其设置为false,则函数仅在所有角色/权限都失败时才会失败。这对于需要允许多个组访问的admin应用程序非常有用。

// if a user has 'create-post', 'edit-comment', or both they will have access
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false);

// if a user is a member of 'owner', 'writer', or both they will have access
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false);

// if a user is a member of 'owner', 'writer', or both, or user has 'create-post', 'edit-comment' they will have access
// if the 4th parameter is true then the user must be a member of Role and must have Permission
Entrust::routeNeedsRoleOrPermission(
    'admin/advanced*',
    array('owner', 'writer'),
    array('create-post', 'edit-comment'),
    null,
    false
);

路由过滤器

可以通过使用从Facade中调用的canhasRole方法在过滤器中使用Entrust角色/权限。

Route::filter('manage_posts', function()
{
    // check the current user
    if (!Entrust::can('create-post')) {
        return Redirect::to('admin');
    }
});

// only users with roles that have the 'manage_posts' permission will be able to access any admin/post route
Route::when('admin/post*', 'manage_posts');

使用过滤器检查角色

Route::filter('owner_role', function()
{
    // check the current user
    if (!Entrust::hasRole('Owner')) {
        App::abort(403);
    }
});

// only owners will have access to routes within admin/advanced
Route::when('admin/advanced*', 'owner_role');

如你所见,Entrust::hasRole()Entrust::can()会检查用户是否已登录,然后检查他们是否有角色或权限。如果用户未登录,则返回也将是false

故障排除

如果在迁移过程中遇到类似以下错误:

SQLSTATE[HY000]: General error: 1005 Can't create table 'laravelbootstrapstarter.#sql-42c_f8' (errno: 150)
    (SQL: alter table `role_user` add constraint role_user_user_id_foreign foreign key (`user_id`)
    references `users` (`id`)) (Bindings: array ())

那么很可能是您的用户表中的id列与role_user中的user_id列不匹配。请确保它们都是INT(10)

当尝试使用EntrustUserTrait方法时,您会遇到类似以下错误:

Class name must be a valid object or a string

那么可能您没有发布Entrust资产,或者发布过程中出了些问题。首先,请确保您在config目录中有entrust.php文件。如果没有,请尝试运行php artisan vendor:publish,如果它没有出现,请手动将/vendor/vildanbina/entrust/src/config/config.php文件复制到您的config目录,并将其重命名为entrust.php

如果您的应用程序使用自定义命名空间,那么您需要告诉entrust您的permissionrole模型的位置,您可以通过编辑config/entrust.php中的配置文件来完成此操作。

'role' => 'Custom\Namespace\Role'

'permission' => 'Custom\Namespace\permission'

许可证

Entrust是免费软件,根据MIT许可协议分发。

贡献指南

支持遵循PSR-1和PSR-4 PHP编码标准,以及语义版本控制。

请在问题页面报告您发现的任何问题。
欢迎Pull requests。