laravel 提供了一种更简单的方式来处理用户授权动作。类似用户认证，laravel 有 2 种主要方式来实现用户授权：gates 和策略(policy)。这里记录一下policy的用法，使用policy完成用户授权主要包含三个步骤：
定义策略类
注册策略类和模型关联
策略判断
定义策略类
策略是在特定模型或者资源中组织授权逻辑的类。例如，如果应用是一个博客，会有一个 post 模型和一个相应的 postpolicy 来授权用户动作，比如创建或者更新博客或者删除博客。
此时可以使用artisan 命令创建策略类，以下的命令创建了一个空的post的策略类
php artisan make:policy postpolicy

生成的策略将放置在 app/policies 目录。如果在你的应用中不存在这个目录，那么 laravel 会自动创建
如果想要生成一个包含curd的策略类，可以使用以下artisan命令
php artisan make:policy postpolicy --model=post

注册策略类和模型关联
在authserviceprovider中注册策略类
protected $policies = [ //'app\model' => 'app\policies\modelpolicy', 这个是laravel中默认注册了的policy，可以模仿这个注册我们自己的policy 'app\post' => 'app\policies\postpolicy', //注册post的policy ];

策略类和模型关联即是在policy中编写我们的策略方法
<?phpnamespace app\policies;use app\user;use app\post;use illuminate\auth\access\handlesauthorization;class postpolicy{ use handlesauthorization; /** * determine whether the user can update the post. * * @param \app\user $user * @param \app\post $post * @return mixed */ public function update(user $user, post $post) { // return $user->id === $post->user_id; } /** * determine whether the user can delete the post. * * @param \app\user $user * @param \app\post $post * @return mixed */ public function delete(user $user, post $post) { // return $user->id === $post->user_id; }

update 方法接受 user 和 post 实例作为参数，并且应当返回 true 或 false 来指明用户是否授权更新给定的 post。因此，这个例子中，我们判断用户的 id 是否和 post 中的 user_id 匹配，
策略判断
这里我们在控制器里面使用控制器辅助函数来进行策略判断
//文章编辑逻辑 public function update(post $post) { $this->validate(request(),[ 'title' => 'required|string|min:5|max:50', 'content' => 'required|string|min:10', ]); $this->authorize('update',$post); ////////////////////策略判断 $post->title = request('title'); $post->content = request('content'); $post->save(); return redirect("/posts/{$post->id}"); } //文章删除 public function delete(post $post) { //todo::权限验证 $this->authorize('delete',$post); //////////////////策略判断 $post->delete(); return redirect('/posts'); }

只要验证不通过，laravel会自动抛出一个httpexception this action is unauthorized.
开发中，可能我们要根据用户的权限来判断是否显示一些按钮，比如视图中的编辑或者是修改的按钮，在blade中我们可以使用@can 来指定模型按钮是否显示
laravel 提供了一种更简单的方式来处理用户授权动作。类似用户认证，laravel 有 2 种主要方式来实现用户授权：gates 和策略(policy)。
这里记录一下policy的用法，使用policy完成用户授权主要包含三个步骤：
定义策略类
注册策略类和模型关联
策略判断
定义策略类
策略是在特定模型或者资源中组织授权逻辑的类。例如，如果应用是一个博客，会有一个 post 模型和一个相应的 postpolicy 来授权用户动作，比如创建或者更新博客或者删除博客。
此时可以使用artisan 命令创建策略类，以下的命令创建了一个空的post的策略类
php artisan make:policy postpolicy

生成的策略将放置在 app/policies 目录。如果在你的应用中不存在这个目录，那么 laravel 会自动创建
如果想要生成一个包含curd的策略类，可以使用以下artisan命令
php artisan make:policy postpolicy --model=post

注册策略类和模型关联
在authserviceprovider中注册策略类
protected $policies = [ //'app\model' => 'app\policies\modelpolicy', 这个是laravel中默认注册了的policy，可以模仿这个注册我们自己的policy 'app\post' => 'app\policies\postpolicy', //注册post的policy ];

策略类和模型关联即是在policy中编写我们的策略方法
<?phpnamespace app\policies;use app\user;use app\post;use illuminate\auth\access\handlesauthorization;class postpolicy{ use handlesauthorization; /** * determine whether the user can update the post. * * @param \app\user $user * @param \app\post $post * @return mixed */ public function update(user $user, post $post) { // return $user->id === $post->user_id; } /** * determine whether the user can delete the post. * * @param \app\user $user * @param \app\post $post * @return mixed */ public function delete(user $user, post $post) { // return $user->id === $post->user_id; }

update 方法接受 user 和 post 实例作为参数，并且应当返回 true 或 false 来指明用户是否授权更新给定的 post。因此，这个例子中，我们判断用户的 id 是否和 post 中的 user_id 匹配，
策略判断
这里我们在控制器里面使用控制器辅助函数来进行策略判断
//文章编辑逻辑 public function update(post $post) { $this->validate(request(),[ 'title' => 'required|string|min:5|max:50', 'content' => 'required|string|min:10', ]); $this->authorize('update',$post); ////////////////////策略判断 $post->title = request('title'); $post->content = request('content'); $post->save(); return redirect("/posts/{$post->id}"); } //文章删除 public function delete(post $post) { //todo::权限验证 $this->authorize('delete',$post); //////////////////策略判断 $post->delete(); return redirect('/posts'); }

只要验证不通过，laravel会自动抛出一个httpexception    this action is unauthorized.
开发中，可能我们要根据用户的权限来判断是否显示一些按钮，比如视图中的编辑或者是修改的按钮，在blade中我们可以使用@can 来指定模型按钮是否显示。
以上就是laravel中policy完成用户授权方法实例的详细内容。