安装

首先要在composer.json中添加:

"zizaco/entrust": "5.2.x-dev"

然后运行composer install 或者 composer update

在 config.php的provider数组中添加:

Zizaco\Entrust\EntrustServiceProvider::class,

在config.php的alias数组中添加:

'Entrust'=>Zizaco\Entrust\EntrustFacade::class,

如果你要使用中间件(要求5.1或更高版本),你需要在app\Http\kernel.php的routeMiddleware数组中添加:

'role'=>\Zizaco\Entrust\Middleware\EntrustRole::class,
'permission'=>\Zizaco\Entrust\Middleware\EntrustPermission::class,
'ability'=>\Zizaco\Entrust\Middleware\EntrustAbility::class, 配置

在config/auth.php设置属性值。这是值将被用于给entrust指定正确的用户表和模型。

你也可以发布这个包的配置以便进一步的配置表明和命名空间。

只要使�php artisan vendor:publish , entrsust.php就会被创建到app/config文件夹中。

用户关联到角色

现在生成enrust迁移:

php artisan entrust:migration

这将生成<timestamp>_entrust_setup_tables.ph迁移。你这时可以使用迁移命令运行它了:

php artisan migrate

迁移结束后,会创建4张新表:

1. roles - 存储角色记录

2. permissions - 存储权限记录

3. role_user - 存储角色与用户之间多对多关联

4. peimissionrole - 存储角色和权限之间多对多关联

模型 Role

使用下面的示例创建app/models/Role.php作为角色模型:

<?php
namespace App;
use Zizaco\Entrust\EntrustRole;
class Role extends EntrustRole{
}

角色模型有3个主要属性:

1. name - 唯一的角色名称,用于在应用信息层查找角色信息。例如:“admin”,“owner”,“employee”。

2. display_name - 人类可读的角色名称。不一定是唯一和可选的。“User Administrator”,“Project Owner”,“Widget Co.Employee”。

3. description - 关于角色作用更详细的解释。 同样是可选的。

display_name 和 description同样可选的。在数据库中他们可以为空。

权限

使用下面的示例创建app/models/Permission.php作为权限模型:

<?php
namespace App; 
use Zizaco\Entrust\EntrustPermission;
class Permission extends EntrustPermission{
}

权限模型拥有和角色模型同样的三个主要属性:

1. name - 唯一的权限名称,用于在应用层查找权限信息。例如"create-post",“edit-user”,“post-payment”,“mailing-list-subscribe”。

2. display_name - 人类可读的权限名称。不一定是唯一和可选的。例如:“Create Post",“Post Payments”。

3. description - 权限的更多细节说明。

User

接着在User模型中使用EntrustUserTrait特征,示例:

<?php
use Zizaco\Entrust\Traits\EntrustUserTrait;
class User extends Eloquent{
use EntrustUserTrait; 
// add this trait to your user model...
}

这会让与角色的关系生效,并为你的User模型增加roles(), hasRole($name), can($permission), and ability($roles, $permissions, $options)这些方法。

不要忘记执行

composer dump-autoload 软删除

默认的迁移在父记录被删除时运用onDelete('cascade')子句设置以删除关联。如果由于某些原因在数据库中你无法使用级联删除, EntrustRole和EntrustPermission类以及包含时间监听器的HasRole特性可以手动地在相关数据透视表中删除记录。为了避免不小心删除数据,在模型使用软删除的情况下,时间监听器不会删除实际数据。由于Laravel事件监听器的限制,没有任何办法区分delete()和forceDelete()调用。由于这个原因,在你删除这个模型之前,你必须手动地删除任何相关的数据(除非你的数据透视表使用级联删除),例如:

$role=Role::findOrFail(1); // 取得一个给定的角色
// 常规删除
$role->delete(); 
// 这无论如何都会工作
// 强制删除
$role->users()->sync([]); // 删除关联数据
$role->perms()->sync([]); // 删除关联数据
$role->forceDelete(); // 现在强制删除都会起作用,不管透视表是够有级联删除

用法

概念

从创建下面的角色S和权限S开始:

$owner=newRole();
$owner->name='owner';
$owner->display_name='Project Owner'; // optional
$owner->description='User is the owner of a given project'; // optional
$owner->save();
$admin=newRole();
$admin->name='admin';
$admin->display_name='User Administrator'; // optional
$admin->description='User is allowed to manage and edit other users'; // optional
$admin->save();

接着,我们将两个已经创建的角色分配给用户。因为有了HasRole特性所以很容易:

$user=User::where('username', '=', 'michele')->first();
// 角色添加别名
$user->attachRole($admin); // 参数可以是角色项目,数组或者
// 或者 eloquent's 原来的技术
$user->roles()->attach($admin->id); // 仅ID

现在我们只需要给这些角色添加权限:

$createPost=newPermission();
$createPost->name='create-post';
$createPost->display_name='Create Posts'; // optional
// Allow a user to...
$createPost->description='create new blog posts'; // optional
$createPost->save();
$editUser=newPermission();
$editUser->name='edit-user';
$editUser->display_name='Edit Users'; // optional
// Allow a user to...
$editUser->description='edit existing users'; // optional
$editUser->save();
$admin->attachPermission($createPost);// equivalent to $admin->perms()->sync(array($createPost->id));
$owner->attachPermissions(array($createPost, $editUser));// equivalent to $owner->perms()->sync(array($createPost->id, $editUser->id));

验证角色和权限

现在我们就可以用简单的方法验证角色和权限:

$user->hasRole('owner'); // false
$user->hasRole('admin'); // true
$user->can('edit-user'); // false
$user->can('create-post'); // true

hasRole()和can()都能接受一个角色和权限的数组用于验证:

$user->hasRole(['owner', 'admin']); // true
$user->can(['edit-user', 'create-post']); // true

默认情况,任何角色或权限属于当前用户,方法就会返回为true。 将方法的第二个参数设置为true,就要求所有权限和角色都通过才能验证成功

$user->hasRole(['owner', 'admin']); // true
$user->hasRole(['owner', 'admin'], true); // false, 用户并没有admin角色
$user->can(['edit-user', 'create-post']); // true
$user->can(['edit-user', 'create-post'], true); // false, 用户没有edit-user权限

你可以随意为每个用户分配任意多的角色,反之亦然。

Entrust为当前已经登录的用户准备了hasRole()和can()的快捷方式

Entrust::hasRole('role-name');
Entrust::can('permission-name');
// 等价于
Auth::user()->hasRole('role-name');
Auth::user()->can('permission-name);

你也可以使用占位符(通配符)验证任何符合条件的权限:

// 匹配任意的admin权限
$user->can("admin.*"); // true
// 匹配任意关于用户的权限
$user->can("*_users"); // true

用户可用性

更多高级验证可以使用ability函数。它有三个参数(roles,permissions,options):

1. roles 一组用于验证的roles

2. permissions 一组用于验证的peimissions

roles和peimissions变量可以是一组逗号分割的字符串或数组:

$user->ability(array('admin', 'owner'), array('create-post', 'edit-user'));
// or
$user->ability('admin,owner', 'create-post,edit-user');

这可以同时检查用户是否提供角色和权限。在这个例子中,只有当用户是admin并且拥有create-post选前才会返回true.

第三个参数是一个可选数组:

$options = array(
'validate_all' => true | false (Default: false),
'return_type' => boolean | array | both (Default: boolean)
);

1. validate_all 这是一个boolean值用于设置是否验证所有制都为true,或者当至少一个角色或权限匹配时返回true。

2. return_type 指定是否返回匹配值得boolean或数组,或者两者都在一个数组中,

下面是输出的示例:

$options = array(
'validate_all' => true,
'return_type' => 'both'
);
list($validate, $allValidations) = $user->ability(
array('admin', 'owner'),
array('create-post', 'edit-user'),
$options
);
var_dump($validate);
// bool(false)
var_dump($allValidations);
// array(4) {
// ['role'] => bool(true)
// ['role_2'] => bool(false)
// ['create-post'] => bool(true)
// ['edit-user'] => bool(false)
// }

Entrust为当前已登录用户准备了ability()方法的快捷方式

Entrust::ability('admin,owner', 'create-post,edit-user');
// 等同于
Auth::user()->ability('admin,owner', 'create-post,edit-user');

Blade模板

在Blade模板中有三个模板可以使用,你的参数将会被直接传递给Entrust的函数

@role('admin')
<p>这里对有admin角色的用户可见. 会被翻译为 \Entrust::role('admin')</p>
@endrole
@permission('manage-admins')
<p>这里对给定权限的用户可见. 会被翻译为 \Entrust::can('manage-admins').@can已经被laravel核心验证包使用, 所以用 @permission直接代替.</p>
@endpermission
@ability('admin,owner', 'create-post,edit-user')
<p>这里对给定能力的用户可见. 会被翻译为 \Entrust::ability('admin,owner', 'create-post,edit-user')</p>
@endability

中间件

您可以使用中间件通过权限或角色来过滤路由和路由组:

Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() {
Route::get('/', 'AdminController@welcome');
Route::get('/manage', ['middleware' => ['permission:manage-admins'], 'uses' => 'AdminController@manageAdmins']);
});

可以使用管道符号或操作符:

'middleware'=> ['role:admin|root']

模拟和功能化使用了多个中间件的实例:

'middleware'=> ['permission:owner', 'permission:writer']

更复杂的情况可以使用ability中间件,它包含三个参数:roles, permissions, validate_all

'middleware'=> ['ability:admin|owner,create-post|edit-user,true']

短语法路由过滤器

使用权限或角色过滤一个路由可以在你的app/Http/routes.php中使用如下代码:

// 仅当用户角色拥有'manage_posts'权限时才可以访问admin/post路由 
Entrust::routeNeedsPermission('admin/post*', 'create-post');
// 仅当owner角色可以访问admin/advanced
Entrust::routeNeedsRole('admin/advanced*', 'owner');
// 第二份可选参数可以是权限或角色的数组
// 用户需要满足所有角色和权限的需求才可以访问此数组
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'));
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));

这两个方法都接受第3个参数,如果第三个参数为null就会返回一个App::abort(403)禁止访问,否则返回第三个参数,所以你可以这样使用:

Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));

此外这两种方法还接受第4个参数,默认为true,验证所有给定的角色和权限。如果你设置为false,仅当所有权限和角色都验证失败时函数才会返回失败。这对后台程序需要允许访问多个组很有用:

// if a user has 'create-post', 'edit-comment', or both they will have access
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false);
// if a user is a member of 'owner', 'writer', or both they will have access
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false);
// if a user is a member of 'owner', 'writer', or both, or user has 'create-post', 'edit-comment' they will have access
// if the 4th parameter is true then the user must be a member of Role and must have Permission
Entrust::routeNeedsRoleOrPermission(
'admin/advanced*',
array('owner', 'writer'),
array('create-post', 'edit-comment'),
null,
false
);

路由过滤

Entrust 的角色/权限过滤可以使用Facade:

Route::filter('manage_posts', function()
{
// check the current user
if (!Entrust::can('create-post')) {
return Redirect::to('admin');
}
});
// only users with roles that have the 'manage_posts' permission will be able to access any admin/post route
Route::when('admin/post*', 'manage_posts');

使用过滤验证角色:

Route::filter('owner_role', function()
{
// check the current user
if (!Entrust::hasRole('Owner')) {
App::abort(403);
}
});
// only owners will have access to routes within admin/advanced
Route::when('admin/advanced*', 'owner_role');

Entrust是一种为Laravel5添加基于角色的权限的简洁而灵活的方法。的更多相关文章

  1. 项目:rbac 基于角色的权限管理系统;

    - 简单示意流程图 - RBAC分析: - 基于角色的权限管理: - 权限等于用户可以访问的URL: - 通过限制URL来限制权限: - RBAC表结构组成: from django.db impor ...

  2. ASP.NET MVC 基于角色的权限控制系统的示例教程

    上一次在 .NET MVC 用户权限管理示例教程中讲解了ASP.NET MVC 通过AuthorizeAttribute类的OnAuthorization方法讲解了粗粒度控制权限的方法,接下来讲解基于 ...

  3. C 实现基于角色的权限系统

    本文demo下载地址:http://www.wisdomdd.cn/Wisdom/resource/articleDetail.htm?resourceId=1068 实例使用C# 实现基于角色的权限 ...

  4. SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建

    SpringBoot整合Shiro实现基于角色的权限访问控制(RBAC)系统简单设计从零搭建 技术栈 : SpringBoot + shiro + jpa + freemark ,因为篇幅原因,这里只 ...

  5. RBAC基于角色的权限访问控制

      RBAC是什么,能解决什么难题?ThinkPHP中RBAC实现体系安全拦截器认证管理器访问决策管理运行身份管理器ThinkPHP中RBAC认证流程权限管理的具体实现过程RBAC相关的数据库介绍Th ...

  6. RBAC: K8s基于角色的权限控制

    文章目录 RBAC: K8s基于角色的权限控制 ServiceAccount.Role.RoleBinding Step 1:创建一个ServiceAccount,指定namespace Step 2 ...

  7. Asp.net core IdentityServer4与传统基于角色的权限系统的集成

    写在前面 因为最近在忙别的,好久没水文了 今天来水一篇: 在学习或者做权限系统技术选型的过程中,经常有朋友有这样的疑问 : "IdentityServer4的能不能做到与传统基于角色的权限系 ...

  8. 10.spring-boot基于角色的权限管理页面实现

    10.spring-boot基于角色的权限管理页面实现

  9. webapi框架搭建-安全机制(四)-可配置的基于角色的权限控制

    webapi框架搭建系列博客 在上一篇的webapi框架搭建-安全机制(三)-简单的基于角色的权限控制,某个角色拥有哪些接口的权限是用硬编码的方式写在接口上的,如RBAuthorize(Roles = ...

随机推荐

  1. Hadoop学习笔记: HDFS

    注:该文内容部分来源于ChinaHadoop.cn上的hadoop视频教程. 一. HDFS概述 HDFS即Hadoop Distributed File System, 源于Google发表于200 ...

  2. TOMCAT 关闭报错:Tomcat did not stop in time. PID file was not removed

    关闭tomcat的时候,报出如下错误信息: # ./shutdown.sh Using CATALINA_BASE: /opt/openkm-6.3.1-community/tomcat Using ...

  3. 通用窗口类 Inventory Pro 2.1.2 Demo1(下)

    本篇想总结的是Inventory Pro中通用窗口的具体实现,但还是要强调下该插件的重点还是装备系统而不是通用窗口系统,所以这里提到的通用窗口类其实是通用装备窗口类(其实该插件中也有非装备窗口比如No ...

  4. MJRefresh简单处理

    //下拉刷新 默认 self.bottomTableVeiw.header = [MJRefreshNormalHeader headerWithRefreshingBlock:^{ [self he ...

  5. raid0

    RAID0把数据分割之后放在各个硬盘上,同时读写以提升数据带宽其实在固态硬盘还没有大量出现在零售市场中之前,玩家想要大幅度提升硬盘系统的性能,最常用的方法就是组建RAID0系统.原理很简单,就以SAT ...

  6. 解决Xamarin 生成时出现 “aapt.exe”已退出,代码为 1。错误问题

    项目中添加的资源或项目文件的名称不能包含 空格 横线 特殊符号 或者 Android关键字 等

  7. 单片机项目开发中的Muliple Inialliaztion和Mutilple Definition解决:在.c中定义全局变量或者用extern加以声明

    c/c++语言中有很多地方要用到extern,但是如果没有真正的了解它的意义,会给编程带来很大的麻烦,为了使大家少走弯路,特祥细的说明一下.      对于比较小的程序,一般只有一个c文件和一个头文件 ...

  8. /Users/alamps/AndroidStudioProjects/Demo10ScrollView

    .define xml <ScrollView xmlns:android="http://schemas.android.com/apk/res/android" andr ...

  9. WindowsService 安装后报错: 无法启动计算机“.”上的服务 解决方案

    问题 : 根据客户的需求做了一个小程序,需要有对WindowsService 安装,卸载,启动,停止的操作. 编译好之后在我的工程内直接Run 没问题.直接在\bin\Debug 点小程序运行,任何操 ...

  10. opscenter dashboard排错

    系统环境 opscenter 5.2 centOS 6.6 cassandra 2.0.x 问题 opscenter上的dashboard监控cassandra集群一段时间(大约1天)后总会停止显示. ...