在Laravel 8中使用Jetstream和Spatie实现用户角色与权限管理

1. 理解Spatie Laravel Permission包

Spatie的laravel-permission包是Laravel生态系统中最受欢迎且功能强大的权限管理解决方案之一。它提供了一种优雅的方式来管理用户角色和权限，支持：

• 角色 (Roles)：将一组权限打包成一个角色，例如“管理员”、“编辑”、“普通用户”。
• 权限 (Permissions)：定义具体的行为，例如“创建文章”、“编辑文章”、“删除用户”。
• 角色-权限关联：一个角色可以拥有多个权限。
• 用户-角色关联：一个用户可以拥有一个或多个角色。
• 用户-权限直接关联：除了通过角色继承权限外，还可以直接为特定用户赋予或撤销权限，实现灵活的权限覆盖。

2. Spatie与现有Laravel 8项目及Jetstream的兼容性

许多初学者常担心，是否可以在一个已经开发了一段时间、并使用了Jetstream进行认证的Laravel 8项目中集成Spatie。答案是肯定的，完全可以。

• 与现有项目的集成： Spatie laravel-permission 包的设计非常灵活，它不要求你从头开始一个全新的Laravel项目。你只需将其作为依赖项安装，发布并运行其迁移文件，然后对你的User模型进行少量修改即可。它会创建自己的数据库表来存储角色、权限及其关联关系，不会与你现有的数据结构产生冲突。
• 与Jetstream的兼容性： Jetstream主要负责用户认证（如注册、登录、两因素认证等）和团队管理。而Spatie laravel-permission 则专注于用户认证成功后的授权（即“谁能做什么”）。两者在功能上是互补的，而非冲突。Jetstream生成的User模型可以很方便地集成Spatie提供的HasRoles Trait，从而获得权限管理能力。

3. 安装与配置Spatie Laravel Permission

以下是详细的安装和配置步骤：

3.1 安装包

在你的Laravel项目根目录下，通过Composer安装Spatie的权限包：

composer require spatie/laravel-permission

3.2 发布迁移文件与配置

安装完成后，你需要发布包的迁移文件和配置文件。

php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider" --tag="permission-migrations"
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider" --tag="permission-config"

3.3 运行数据库迁移

发布迁移文件后，运行数据库迁移以创建Spatie所需的表（roles、permissions、model_has_roles、model_has_permissions、role_has_permissions）：

php artisan migrate

3.4 配置User模型

为了让你的User模型拥有角色和权限管理的能力，你需要在app/Models/User.php文件中使用Spatie\Permission\Traits\HasRoles Trait。

<?php

namespace App\Models;

use Illuminate\Contracts\Auth\MustVerifyEmail;
use Illuminate\Database\Eloquent\Factories\HasFactory;
use Illuminate\Foundation\Auth\User as Authenticatable;
use Illuminate\Notifications\Notifiable;
use Laravel\Fortify\TwoFactorAuthenticatable;
use Laravel\Jetstream\HasProfilePhoto;
use Laravel\Sanctum\HasApiTokens;
use Spatie\Permission\Traits\HasRoles; // 引入HasRoles Trait

class User extends Authenticatable
{
    use HasApiTokens,
        HasFactory,
        Notifiable,
        HasProfilePhoto,
        TwoFactorAuthenticatable,
        HasRoles; // 使用HasRoles Trait

    // ... 其他模型属性和方法
}

4. 创建与管理角色和权限

现在，你的项目已经准备好使用Spatie进行权限管理了。

人民网AIGC-X

国内科研机构联合推出的AI生成内容检测工具

下载

4.1 创建角色和权限

你可以在数据库Seeder、控制器或任何业务逻辑中创建角色和权限。

use Spatie\Permission\Models\Role;
use Spatie\Permission\Models\Permission;

// 创建权限
$permission1 = Permission::create(['name' => 'edit articles']);
$permission2 = Permission::create(['name' => 'delete articles']);
$permission3 = Permission::create(['name' => 'publish articles']);
$permission4 = Permission::create(['name' => 'manage users']);

// 创建角色
$roleAdmin = Role::create(['name' => 'admin']);
$roleEditor = Role::create(['name' => 'editor']);
$roleViewer = Role::create(['name' => 'viewer']);

// 为角色分配权限
$roleAdmin->givePermissionTo(['edit articles', 'delete articles', 'publish articles', 'manage users']);
$roleEditor->givePermissionTo(['edit articles', 'publish articles']);
$roleViewer->givePermissionTo([]); // 观众角色暂时没有特定权限

4.2 为用户分配角色和权限

获取一个用户实例，然后为其分配角色或直接分配权限。

$user = App\Models\User::find(1); // 获取一个用户实例

// 为用户分配角色
$user->assignRole('admin'); // 分配 'admin' 角色
// $user->assignRole(['editor', 'viewer']); // 分配多个角色

// 移除用户的角色
// $user->removeRole('viewer');

// 检查用户是否拥有某个角色
if ($user->hasRole('admin')) {
    // ...
}

// 直接为用户赋予权限（权限覆盖）
// 即使用户没有通过角色获得 'delete articles' 权限，也可以直接赋予
$user->givePermissionTo('delete articles');

// 撤销用户直接拥有的权限
// $user->revokePermissionTo('delete articles');

// 检查用户是否拥有某个权限
if ($user->can('edit articles')) {
    // ...
}

权限覆盖机制： Spatie的强大之处在于，它允许你直接为用户分配权限，这些权限会与用户通过角色获得的权限叠加。如果你想为某个特定用户增加或减少权限，而又不影响其所属角色的其他用户，直接操作用户实例的givePermissionTo()或revokePermissionTo()方法即可。

5. 在应用中使用权限

5.1 在控制器或业务逻辑中检查权限

你可以在任何地方使用can()方法来检查用户是否拥有某个权限。

use Illuminate\Support\Facades\Auth;

public function updateArticle(Request $request, Article $article)
{
    if (Auth::user()->can('edit articles')) {
        // 用户有权限编辑文章，执行更新操作
        $article->update($request->all());
        return redirect()->back()->with('success', '文章更新成功！');
    }

    abort(403, '你没有编辑文章的权限。');
}

5.2 在Blade模板中显示/隐藏内容

Spatie提供了Blade指令，方便你在视图中根据用户权限显示或隐藏UI元素。

@can('edit articles')
    <a href="{{ route('articles.edit', $article) }}" class="btn btn-primary">编辑文章</a>
@endcan

@role('admin')
    <a href="{{ route('users.index') }}" class="btn btn-danger">管理用户</a>
@endrole

{{-- 结合角色和权限 --}}
@hasrole('editor')
    @can('publish articles')
        <button type="submit">发布文章</button>
    @endcan
@endhasrole

5.3 使用中间件保护路由

Spatie提供了role和permission中间件，用于保护路由。你可以在app/Http/Kernel.php中注册它们：

protected $routeMiddleware = [
    // ... 其他中间件
    'role' => \Spatie\Permission\Middlewares\RoleMiddleware::class,
    'permission' => \Spatie\Permission\Middlewares\PermissionMiddleware::class,
    'role_or_permission' => \Spatie\Permission\Middlewares\RoleOrPermissionMiddleware::class,
];

然后在路由定义中使用：

Route::middleware(['auth', 'role:admin'])->group(function () {
    Route::resource('users', UserController::class);
});

Route::middleware(['auth', 'permission:edit articles'])->group(function () {
    Route::get('articles/{article}/edit', [ArticleController::class, 'edit']);
    Route::put('articles/{article}', [ArticleController::class, 'update']);
});

// 允许拥有 'admin' 角色 或 'manage users' 权限的用户访问
Route::get('/dashboard', function () {
    // ...
})->middleware(['auth', 'role_or_permission:admin|manage users']);

6. 注意事项与最佳实践

• 缓存： Spatie为了性能会将权限信息缓存起来。当你修改了角色或权限时，可能需要清除缓存：

  php artisan permission:cache-reset

  在生产环境中，部署时应确保执行此命令。

• Seeder： 强烈建议使用数据库Seeder来初始化你的角色和权限。这有助于在不同环境（开发、测试、生产）中保持权限结构的一致性。
• 权限命名： 保持权限名称的清晰和一致性，例如使用verb-noun的格式（create-post, edit-user）。
• 权限粒度： 根据你的应用需求，确定权限的粒度。过细的权限可能导致管理复杂，过粗的权限则可能缺乏灵活性。
• UI管理界面： 对于更复杂的应用，你可能需要开发一个管理界面，让管理员能够动态地创建、分配和撤销角色与权限。

总结

通过本文的指导，你应该已经掌握了如何在Laravel 8中，利用Spatie的laravel-permission包与Jetstream认证系统协同工作，构建一个全面且灵活的用户角色与权限管理系统。无论是将权限功能集成到现有项目，还是处理Jetstream的兼容性问题，Spatie都提供了优雅的解决方案。遵循这些步骤和最佳实践，你将能够有效地控制用户对应用资源的访问，从而提升应用的安全性和可维护性。