乐趣区

laravel实现简单用户权限

关于权限管理的思考
最近用 laravel 设计后台,后台需要有个权限管理。权限管理实质上分为两个部分,首先是认证,然后是权限。认证部分非常好做,就是管理员登录,记录 session。这个 laravel 中也有自带 Auth 来实现这个。最麻烦就是权限认证。

权限认证本质上就是谁有权限管理什么东西。这里有两个方面的维度,谁,就是用户维度,在用户维度,权限管理的粒度可以是用户一个人,也可以是将用户分组,如果将用户分组,则涉及到的逻辑是一个用户可以在多个组里面吗?在另外一方面,管理什么东西,这个东西是物的维度,一个页面是一个东西,一个页面上的一个元素也是一个东西,或者往大了说,一个功能是一个东西。所以做权限管理最重要的是确认这两个维度的粒度。这个已经不是技术的事情了,这个是需要需求讨论的了。

基于上面的思考,我这次想做的权限管理,在用户维度,是基于个人的。就是每个人的权限不一样。在东西的维度,我设置路由为最小的单位,即可以为单个路由设置权限管理。

下面的思考就是使用什么来标记权限,可以使用位,也可以使用字符,也可以使用整型。后来我选择了字符,基于两点考虑:1 字符浅显易懂,在数据库中查找也比较方便 2 我没有按照某个权限查找有这个权限的人的需求,即没有反查需求,使用位,整型等都意义不大。

接下来考虑如何和 laravel 结合,既然要为每个路由设置访问权限,那么我当然希望能在 laravel 的 route.php 路由管理中配置。最好就是在 Route::get 的时候有个参数能设置 permission。这样做的好处是权限设置简易了。在决定路由的时候,就顺手写了权限控制。坏处呢,也很明显,laravel 路由的三种方式只能写一种了。就是 Route::(method)这样的方式了。

基本决定好了就开干。

路由设计
基本的路由是这样的

Route::post(‘/admin/validate’, [‘uses’ => ‘AdminController@postValidate’, ‘permissions’=>[‘admin.validate’, ‘admin.index’]]);
这里在基本的制定路由 action 之后设置了一个 permissions 的属性,这个属性设计成数组,因为比如一个 post 请求,它可能在某个页面会触发,也可能在另外一个页面触发,那么这个 post 请求就需要同时拥有两个页面路由的权限。

这里使用 admin.validate 的权限控制,这样,可以将权限分组,admin 都是关于 admin 相关的分组,在数据库中,我就会存储一个二维数组,[admin] => [‘validate’, ‘index’]; 存储成二维数组而不是一维的好处呢,一般后台展示是有两个维度的,一个是头部的 tab 栏,一个是左边的 nav 栏,就是说这个二维的数组和后台的 tab,nav 栏是一一对应的。

中间件设计
好了,下面我们就挂上中间件,并且设置所有的路由都走这个中间件

<?php namespace App\Http\Middleware;

use Illuminate\Support\Facades\Session;
use Closure;

class Permission {

    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {$permits = $this->getPermission($request);

        $admin = \App\Http\Middleware\Authenticate::getAuthUser();

        // 只要有一个有权限,就可以进入这个请求
        foreach ($permits as $permit) {if ($permit == '*') {return $next($request);
            }
            if ($admin->hasPermission($permit)) {return $next($request);
            }
        }

        echo "没有权限,请联系管理员";exit;
    }

    // 获取当前路由需要的权限
    public  function getPermission($request)
    {$actions = $request->route()->getAction();
        if (empty($actions['permissions'])) {echo "路由没有设置权限";exit;}
        return $actions['permissions'];
    }
}

这里最关键的就 getPermission 函数,从 $request->route()->getAction()来获取出这个路由的 action 定义,然后从其中的 permissions 字段中获取 route.php 中定义的路由权限。

然后上面的 middleware 有个 admin−>hasPermission(permit); 这个就涉及到 model 的设计。

model 设计

<?php namespace App\Models\Admin;

use App\Models\Model as BaseModel;

class Admin extends BaseModel {

    protected $table = 'admin';

    // 判断是否有某个权限
    public function hasPermission($permission)
    {
        $permission_db = $this->permissions;
        if(in_array($permission, $permission_db)) {return true;}

        return false;
    }

    // permission 是一个二维数组
    public function getPermissionsAttribute($value)
    {if (empty($value)) {return [];
        }
        $data = json_decode($value, true);
        $ret = [];
        foreach ($data as $key => $value) {$ret[] = $key;
            foreach ($value as $value2) {$ret[] = "{$key}.{$value2}";
            }
        }
        return array_unique($ret);
    }

    // 全局设置 permission
    public function setPermissionsAttribute($value)
    {$ret = [];
        foreach ($value as $item) {$keys = explode('.', $item);
            if (count($keys) != 2) {continue;}
            $ret[$keys[0]][] = $keys[1];
        }

        $this->attributes['permissions'] = json_encode($ret);
    }
}

在数据库中,我将二维数组存储为 json,利用 laravel 的 Attribute 的 get 和 set 方法,完成了数据库中 json 和外界程序逻辑的连接。然后 hasPermission 就显得很轻松了,直接判断 in_array 就 ok 了。

后续
这个权限认证的逻辑就清晰了。然后如果页面中某个 tab 或者 nav 需要对不同权限的用户展示,只需要在 view 中判断

@if ($admin->hasPermission('admin.index')) 
@endif

就可以判断这个用户是否可以看到这个 tab 了。

退出移动版