聊聊Laravel中的拦截器（Gates）

时间：2022-09-28 19:59

Laravel 9 保姆级视频教程，想学不会都难！进入学习

Laravel Gates（拦截器）允许你授权用户访问应用程序的某些区域。你可以轻松地在应用程序中定义拦截器，然后使用它们来允许或拒绝访问。

简单示例

假设在用户表中，有一个名为 admin 的列，根据用户是否是管理员，它可以是 1 或 0。我们可以通过如下简单的检查来轻松保护应用程序的一部分模块：

Route::get('administration', function(){
    if(auth()->check() && auth()->user()->admin){
        echo 'Welcome to the admin section';
    } else {
        echo 'You shall not pass';
    }
});

如果特定用户的 admin 行设置为 1 ，他们将看到以下输出。

Admin access screenshot

否则，他们将看到以下内容：

Admin denied access

这看上去很棒对吧！我们有一种简单的方法来允许或拒绝访问我们应用程序中的特定部分。然而问题是：如果整个应用程序中，有大量的位置要检查并修改用户访问权限怎么办。我们将不得不全局搜索代码并在每个地方修改这个逻辑。效率不是很高。

对此，我们可以定义一个 Gate（拦截器）并在整个应用程序中使用它。

定义拦截器

要定义拦截器，可以打开 App\Providers\AuthServiceProvider.php 文件并在我们的 boot() 方法中添加以下内容：

public function boot()
{
    $this->registerPolicies();

    Gate::define('access-admin', function ($user) {
        return $user->admin;
    });
}

我们可以在整个应用中任何想验证管理员用户的地方使用这个拦截器。在下一节中，你将看到我们如何使用这个新的拦截器。

使用拦截器

要使用拦截器，我们可以调用 Gate::allows() 或 Gate::denies() 方法，如下所示：

Route::get('administration', function(){
    if (Gate::allows('access-admin')) {
        echo 'Welcome to the admin section';
    } else {
        echo 'You shall not pass';
    }
});

请注意： Gate::denies() 方法会对 Gate::allows() 执行反向检查

拦截器的好处是我们现在可以随时更改我们的定义，授权逻辑会同步在整个应用程序中更改。

使用拦截器的另一个目的是检查与数据相关的权限。以博客为例，我们可以授予用户对他们创建的帖子的编辑权限。

我们可以将数据传递给拦截器以检查用户是否有权执行某项操作。

像拦截器传递数据

假设我们的应用程序有一个 Post 表，其中有一列 user_id，其中包含创建它的用户的 ID。我们可以定义一个 Gate（拦截器）来确定用户是否可以像这样编辑特定的帖子：

Gate::define('edit-post', function ($user, $post) {
    return $user->id === $post->user_id;
});

两个参数被传递给我们的拦截器定义。第一个是 $user 对象，其中包含经过身份验证的用户，第二个参数是我们的 $post 对象。

小Tips：如果没有经过身份验证的用户，拦截器将返回 false。

如果经过身份验证的用户是原始作者，拦截器将允许访问；否则将拒绝访问。

下面是一个快速示例，说明我们如何使用新的 edit-post 拦截器。

Route::get('edit/{id}', function($id){

    $post = \App\Model\Post::find($id);

    if( Gate::allows('edit-post', $post) ){
        echo 'You can edit this post';
    } else {
        echo 'You shall not pass';
    }

});

上面，我们在示例中使用了 Route Closures，但我们可能希望将此路由映射到控制器。这也将让我们使用新的 Authorize 函数。

Authorize 授权助手函数

除了效率之外，使用拦截器的另一个原因是辅助函数。

假设我们将路由映射到控制器：

Route::get('edit/{id}', 'PostController@edit');

我们可以使用 authorize() 助手来检查经过身份验证的用户是否有权编辑帖子：

authorize('edit-post', $post);

    }
}

如果控制器从 App\Http\Controllers\Controller 基类继承而来，你可以像使用 Gate::allow() 函数一样使用 authorize() 助手函数。

最后，如果我们想在视图中检查授权怎么办？我们可以使用 @can Blade 函数助手来做到这一点。

在视图层进行鉴权

假设 Blade 视图如下：




    
    
    {{ $post->title }}


    {{ $post->title }}
    {!! $post->body !!}

我们可以使用 Blade 助手函数 @can 检查当前用户是否被允许编辑这篇文章：




    
    
    {{ $post->title }}


    {{ $post->title }}
    {!! $post->body !!}

    @can('edit-post', $post)
        id }}">Edit Post
    @endcan

如果经过身份验证的用户是该帖子的原始作者，他们将看到一个编辑帖子按钮。

使用 @can 助手函数可以使我们的代码更易于阅读和管理。你也可以使用 @cannot 作反向操作。