首页 > 代码库 > Entrust是一种为Laravel5添加基于角色的权限的简洁而灵活的方法。
Entrust是一种为Laravel5添加基于角色的权限的简洁而灵活的方法。
安装
首先要在composer.json中添加:
"zizaco/entrust": "5.2.x-dev"
然后运行composer install 或者 composer update
在 config.php的provider数组中添加:
Zizaco\Entrust\EntrustServiceProvider::class,
在config.php的alias数组中添加:
‘Entrust‘=>Zizaco\Entrust\EntrustFacade::class,
如果你要使用中间件(要求5.1或更高版本),你需要在app\Http\kernel.php的routeMiddleware数组中添加:
‘role‘=>\Zizaco\Entrust\Middleware\EntrustRole::class,
‘permission‘=>\Zizaco\Entrust\Middleware\EntrustPermission::class,
‘ability‘=>\Zizaco\Entrust\Middleware\EntrustAbility::class, 配置
在config/auth.php设置属性值。这是值将被用于给entrust指定正确的用户表和模型。
你也可以发布这个包的配置以便进一步的配置表明和命名空间。
只要使?php artisan vendor:publish , entrsust.php就会被创建到app/config文件夹中。
用户关联到角色
现在生成enrust迁移:
php artisan entrust:migration
这将生成<timestamp>_entrust_setup_tables.ph迁移。你这时可以使用迁移命令运行它了:
php artisan migrate
迁移结束后,会创建4张新表:
1. roles - 存储角色记录
2. permissions - 存储权限记录
3. role_user - 存储角色与用户之间多对多关联
4. peimissionrole - 存储角色和权限之间多对多关联
模型 Role
使用下面的示例创建app/models/Role.php作为角色模型:
<?php
namespace App;
use Zizaco\Entrust\EntrustRole;
class Role extends EntrustRole{
}
角色模型有3个主要属性:
1. name - 唯一的角色名称,用于在应用信息层查找角色信息。例如:“admin”,“owner”,“employee”。
2. display_name - 人类可读的角色名称。不一定是唯一和可选的。“User Administrator”,“Project Owner”,“Widget Co.Employee”。
3. description - 关于角色作用更详细的解释。 同样是可选的。
display_name 和 description同样可选的。在数据库中他们可以为空。
权限
使用下面的示例创建app/models/Permission.php作为权限模型:
<?php
namespace App;
use Zizaco\Entrust\EntrustPermission;
class Permission extends EntrustPermission{
}
权限模型拥有和角色模型同样的三个主要属性:
1. name - 唯一的权限名称,用于在应用层查找权限信息。例如"create-post",“edit-user”,“post-payment”,“mailing-list-subscribe”。
2. display_name - 人类可读的权限名称。不一定是唯一和可选的。例如:“Create Post",“Post Payments”。
3. description - 权限的更多细节说明。
User
接着在User模型中使用EntrustUserTrait特征,示例:
<?php
use Zizaco\Entrust\Traits\EntrustUserTrait;
class User extends Eloquent{
use EntrustUserTrait;
// add this trait to your user model...
}
这会让与角色的关系生效,并为你的User模型增加roles(), hasRole($name), can($permission), and ability($roles, $permissions, $options)这些方法。
不要忘记执行
composer dump-autoload 软删除
默认的迁移在父记录被删除时运用onDelete(‘cascade‘)子句设置以删除关联。如果由于某些原因在数据库中你无法使用级联删除, EntrustRole和EntrustPermission类以及包含时间监听器的HasRole特性可以手动地在相关数据透视表中删除记录。为了避免不小心删除数据,在模型使用软删除的情况下,时间监听器不会删除实际数据。由于Laravel事件监听器的限制,没有任何办法区分delete()和forceDelete()调用。由于这个原因,在你删除这个模型之前,你必须手动地删除任何相关的数据(除非你的数据透视表使用级联删除),例如:
$role=Role::findOrFail(1); // 取得一个给定的角色
// 常规删除
$role->delete();
// 这无论如何都会工作
// 强制删除
$role->users()->sync([]); // 删除关联数据
$role->perms()->sync([]); // 删除关联数据
$role->forceDelete(); // 现在强制删除都会起作用,不管透视表是够有级联删除
用法
概念
从创建下面的角色S和权限S开始:
$owner=newRole();
$owner->name=‘owner‘;
$owner->display_name=‘Project Owner‘; // optional
$owner->description=‘User is the owner of a given project‘; // optional
$owner->save();
$admin=newRole();
$admin->name=‘admin‘;
$admin->display_name=‘User Administrator‘; // optional
$admin->description=‘User is allowed to manage and edit other users‘; // optional
$admin->save();
接着,我们将两个已经创建的角色分配给用户。因为有了HasRole特性所以很容易:
$user=User::where(‘username‘, ‘=‘, ‘michele‘)->first();
// 角色添加别名
$user->attachRole($admin); // 参数可以是角色项目,数组或者
// 或者 eloquent‘s 原来的技术
$user->roles()->attach($admin->id); // 仅ID
现在我们只需要给这些角色添加权限:
$createPost=newPermission();
$createPost->name=‘create-post‘;
$createPost->display_name=‘Create Posts‘; // optional
// Allow a user to...
$createPost->description=‘create new blog posts‘; // optional
$createPost->save();
$editUser=newPermission();
$editUser->name=‘edit-user‘;
$editUser->display_name=‘Edit Users‘; // optional
// Allow a user to...
$editUser->description=‘edit existing users‘; // optional
$editUser->save();
$admin->attachPermission($createPost);// equivalent to $admin->perms()->sync(array($createPost->id));
$owner->attachPermissions(array($createPost, $editUser));// equivalent to $owner->perms()->sync(array($createPost->id, $editUser->id));
验证角色和权限
现在我们就可以用简单的方法验证角色和权限:
$user->hasRole(‘owner‘); // false
$user->hasRole(‘admin‘); // true
$user->can(‘edit-user‘); // false
$user->can(‘create-post‘); // true
hasRole()和can()都能接受一个角色和权限的数组用于验证:
$user->hasRole([‘owner‘, ‘admin‘]); // true
$user->can([‘edit-user‘, ‘create-post‘]); // true
默认情况,任何角色或权限属于当前用户,方法就会返回为true。 将方法的第二个参数设置为true,就要求所有权限和角色都通过才能验证成功
$user->hasRole([‘owner‘, ‘admin‘]); // true
$user->hasRole([‘owner‘, ‘admin‘], true); // false, 用户并没有admin角色
$user->can([‘edit-user‘, ‘create-post‘]); // true
$user->can([‘edit-user‘, ‘create-post‘], true); // false, 用户没有edit-user权限
你可以随意为每个用户分配任意多的角色,反之亦然。
Entrust为当前已经登录的用户准备了hasRole()和can()的快捷方式
Entrust::hasRole(‘role-name‘);
Entrust::can(‘permission-name‘);
// 等价于
Auth::user()->hasRole(‘role-name‘);
Auth::user()->can(‘permission-name);
你也可以使用占位符(通配符)验证任何符合条件的权限:
// 匹配任意的admin权限
$user->can("admin.*"); // true
// 匹配任意关于用户的权限
$user->can("*_users"); // true
用户可用性
更多高级验证可以使用ability函数。它有三个参数(roles,permissions,options):
1. roles 一组用于验证的roles
2. permissions 一组用于验证的peimissions
roles和peimissions变量可以是一组逗号分割的字符串或数组:
$user->ability(array(‘admin‘, ‘owner‘), array(‘create-post‘, ‘edit-user‘));
// or
$user->ability(‘admin,owner‘, ‘create-post,edit-user‘);
这可以同时检查用户是否提供角色和权限。在这个例子中,只有当用户是admin并且拥有create-post选前才会返回true.
第三个参数是一个可选数组:
$options = array(
‘validate_all‘ => true | false (Default: false),
‘return_type‘ => boolean | array | both (Default: boolean)
);
1. validate_all 这是一个boolean值用于设置是否验证所有制都为true,或者当至少一个角色或权限匹配时返回true。
2. return_type 指定是否返回匹配值得boolean或数组,或者两者都在一个数组中,
下面是输出的示例:
$options = array(
‘validate_all‘ => true,
‘return_type‘ => ‘both‘
);
list($validate, $allValidations) = $user->ability(
array(‘admin‘, ‘owner‘),
array(‘create-post‘, ‘edit-user‘),
$options
);
var_dump($validate);
// bool(false)
var_dump($allValidations);
// array(4) {
// [‘role‘] => bool(true)
// [‘role_2‘] => bool(false)
// [‘create-post‘] => bool(true)
// [‘edit-user‘] => bool(false)
// }
Entrust为当前已登录用户准备了ability()方法的快捷方式
Entrust::ability(‘admin,owner‘, ‘create-post,edit-user‘);
// 等同于
Auth::user()->ability(‘admin,owner‘, ‘create-post,edit-user‘);
Blade模板
在Blade模板中有三个模板可以使用,你的参数将会被直接传递给Entrust的函数
@role(‘admin‘)
<p>这里对有admin角色的用户可见. 会被翻译为 \Entrust::role(‘admin‘)</p>
@endrole
@permission(‘manage-admins‘)
<p>这里对给定权限的用户可见. 会被翻译为 \Entrust::can(‘manage-admins‘).@can已经被laravel核心验证包使用, 所以用 @permission直接代替.</p>
@endpermission
@ability(‘admin,owner‘, ‘create-post,edit-user‘)
<p>这里对给定能力的用户可见. 会被翻译为 \Entrust::ability(‘admin,owner‘, ‘create-post,edit-user‘)</p>
@endability
中间件
您可以使用中间件通过权限或角色来过滤路由和路由组:
Route::group([‘prefix‘ => ‘admin‘, ‘middleware‘ => [‘role:admin‘]], function() {
Route::get(‘/‘, ‘AdminController@welcome‘);
Route::get(‘/manage‘, [‘middleware‘ => [‘permission:manage-admins‘], ‘uses‘ => ‘AdminController@manageAdmins‘]);
});
可以使用管道符号或操作符:
‘middleware‘=> [‘role:admin|root‘]
模拟和功能化使用了多个中间件的实例:
‘middleware‘=> [‘permission:owner‘, ‘permission:writer‘]
更复杂的情况可以使用ability中间件,它包含三个参数:roles, permissions, validate_all
‘middleware‘=> [‘ability:admin|owner,create-post|edit-user,true‘]
短语法路由过滤器
使用权限或角色过滤一个路由可以在你的app/Http/routes.php中使用如下代码:
// 仅当用户角色拥有‘manage_posts‘权限时才可以访问admin/post路由
Entrust::routeNeedsPermission(‘admin/post*‘, ‘create-post‘);
// 仅当owner角色可以访问admin/advanced
Entrust::routeNeedsRole(‘admin/advanced*‘, ‘owner‘);
// 第二份可选参数可以是权限或角色的数组
// 用户需要满足所有角色和权限的需求才可以访问此数组
Entrust::routeNeedsPermission(‘admin/post*‘, array(‘create-post‘, ‘edit-comment‘));
Entrust::routeNeedsRole(‘admin/advanced*‘, array(‘owner‘,‘writer‘));
这两个方法都接受第3个参数,如果第三个参数为null就会返回一个App::abort(403)禁止访问,否则返回第三个参数,所以你可以这样使用:
Entrust::routeNeedsRole(‘admin/advanced*‘, ‘owner‘, Redirect::to(‘/home‘));
此外这两种方法还接受第4个参数,默认为true,验证所有给定的角色和权限。如果你设置为false,仅当所有权限和角色都验证失败时函数才会返回失败。这对后台程序需要允许访问多个组很有用:
// if a user has ‘create-post‘, ‘edit-comment‘, or both they will have access
Entrust::routeNeedsPermission(‘admin/post*‘, array(‘create-post‘, ‘edit-comment‘), null, false);
// if a user is a member of ‘owner‘, ‘writer‘, or both they will have access
Entrust::routeNeedsRole(‘admin/advanced*‘, array(‘owner‘,‘writer‘), null, false);
// if a user is a member of ‘owner‘, ‘writer‘, or both, or user has ‘create-post‘, ‘edit-comment‘ they will have access
// if the 4th parameter is true then the user must be a member of Role and must have Permission
Entrust::routeNeedsRoleOrPermission(
‘admin/advanced*‘,
array(‘owner‘, ‘writer‘),
array(‘create-post‘, ‘edit-comment‘),
null,
false
);
路由过滤
Entrust 的角色/权限过滤可以使用Facade:
Route::filter(‘manage_posts‘, function()
{
// check the current user
if (!Entrust::can(‘create-post‘)) {
return Redirect::to(‘admin‘);
}
});
// only users with roles that have the ‘manage_posts‘ permission will be able to access any admin/post route
Route::when(‘admin/post*‘, ‘manage_posts‘);
使用过滤验证角色:
Route::filter(‘owner_role‘, function()
{
// check the current user
if (!Entrust::hasRole(‘Owner‘)) {
App::abort(403);
}
});
// only owners will have access to routes within admin/advanced
Route::when(‘admin/advanced*‘, ‘owner_role‘);
Entrust是一种为Laravel5添加基于角色的权限的简洁而灵活的方法。