Laravel 权限认证：解决 403 Unauthorized 错误

碧海醫心

发布时间：2025-10-11 12:52:23

968人浏览过

来源于php中文网

原创

laravel 权限认证：解决 403 unauthorized 错误

本文旨在帮助开发者理解和解决 Laravel 框架中遇到的 "403 THIS ACTION IS UNAUTHORIZED" 错误。通过创建 Policy 类并在 AuthServiceProvider 中注册，我们可以细粒度地控制用户对特定资源的操作权限，确保只有授权用户才能执行敏感操作，从而保障应用安全。

Laravel 提供了强大的权限认证机制，允许开发者轻松地控制用户对应用程序资源的访问权限。当用户尝试访问未经授权的资源时，会抛出 "403 THIS ACTION IS UNAUTHORIZED" 错误。本文将详细介绍如何使用 Laravel 的 Policy 类来解决此问题，并提供示例代码。

1. 创建 Policy 类

Policy 类用于定义特定模型的操作权限规则。假设我们有一个 Profile 模型，我们需要定义只有 Profile 的所有者才能编辑和更新 Profile 信息的规则。首先，我们需要创建一个 ProfilePolicy 类：

php artisan make:policy ProfilePolicy --model=Profile

这将会在 app/Policies 目录下创建一个 ProfilePolicy.php 文件。

2. 定义权限规则

打开 ProfilePolicy.php 文件，并定义 update 方法，该方法用于判断用户是否有权更新 Profile 模型。

<?php

namespace App\Policies;

use App\Models\Profile;
use App\Models\User;
use Illuminate\Auth\Access\HandlesAuthorization;

class ProfilePolicy
{
    use HandlesAuthorization;

    /**
     * Determine whether the user can update the model.
     *
     * @param  \App\Models\User  $user
     * @param  \App\Models\Profile  $profile
     * @return \Illuminate\Auth\Access\Response|bool
     */
    public function update(User $user, Profile $profile)
    {
        return $user->id === $profile->user_id;
    }
}

在这个例子中，update 方法接收当前用户 $user 和要更新的 Profile 模型 $profile 作为参数。如果用户的 ID 与 Profile 的 user_id 相匹配，则返回 true，表示用户有权更新 Profile。否则，返回 false，表示用户没有权限。

3. 注册 Policy 类

要让 Laravel 知道 ProfilePolicy 对应于 Profile 模型，需要在 AuthServiceProvider 中注册 Policy。打开 app/Providers/AuthServiceProvider.php 文件，并在 $policies 属性中添加以下内容：

CreateWise AI

为播客创作者设计的AI创作工具，AI自动去口癖、提交亮点和生成Show notes、标题等

下载

<?php

namespace App\Providers;

use App\Models\Profile;
use App\Policies\ProfilePolicy;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
use Illuminate\Support\Facades\Gate;

class AuthServiceProvider extends ServiceProvider
{
    /**
     * The policy mappings for the application.
     *
     * @var array<class-string, class-string>
     */
    protected $policies = [
        Profile::class => ProfilePolicy::class,
    ];

    /**
     * Register any authentication / authorization services.
     *
     * @return void
     */
    public function boot()
    {
        $this->registerPolicies();

        //
    }
}

4. 在 Controller 中使用 Policy

现在，我们可以在 ProfilesController 中使用 authorize 方法来检查用户是否具有更新 Profile 的权限。

<?php

namespace App\Http\Controllers;

use App\Models\User;
use Illuminate\Http\Request;

class ProfilesController extends Controller
{
    public function edit(User $user)
    {
        $this->authorize('update', $user->profile);
        return view('profiles.edit', compact('user'));
    }

    public function update(User $user)
    {
        $this->authorize('update', $user->profile);

        $data = request()->validate([
            'title' => 'required',
            'description' => 'required',
            'url' => 'url',
            'image' => '',
        ]);

        auth()->user()->profile->update($data);

        return redirect("/profile/{$user->id}");
    }
}

在 edit 和 update 方法中，我们调用了 $this->authorize('update', $user->profile)。Laravel 会自动查找与 Profile 模型关联的 ProfilePolicy 类，并调用 update 方法。如果用户没有权限，authorize 方法会抛出 AuthorizationException，并返回 "403 THIS ACTION IS UNAUTHORIZED" 错误。

5. 异常处理

为了更好地处理 AuthorizationException，可以在 app/Exceptions/Handler.php 文件中添加以下代码：

<?php

namespace App\Exceptions;

use Illuminate\Foundation\Exceptions\Handler as ExceptionHandler;
use Throwable;
use Illuminate\Auth\Access\AuthorizationException;
use Symfony\Component\HttpFoundation\Response;

class Handler extends ExceptionHandler
{
    /**
     * A list of the exception types that are not reported.
     *
     * @var array<int, class-string<Throwable>>
     */
    protected $dontReport = [
        //
    ];

    /**
     * A list of the inputs that are never flashed to the session on validation exceptions.
     *
     * @var array<int, string>
     */
    protected $dontFlash = [
        'current_password',
        'password',
        'password_confirmation',
    ];

    /**
     * Register the exception handling callbacks for the application.
     *
     * @return void
     */
    public function register()
    {
        $this->reportable(function (Throwable $e) {
            //
        });

        $this->renderable(function (AuthorizationException $e, $request) {
            return response()->view('errors.403', [], Response::HTTP_FORBIDDEN);
        });
    }
}

这段代码会在抛出 AuthorizationException 时，渲染一个自定义的 errors.403 视图，向用户显示更友好的错误信息。你需要在 resources/views/errors 目录下创建一个 403.blade.php 文件。

总结与注意事项

Policy 类是 Laravel 中实现权限认证的关键。
确保在 AuthServiceProvider 中注册 Policy 类。
使用 authorize 方法在 Controller 中检查用户权限。
可以自定义异常处理逻辑，提供更友好的错误提示。
Policy 规则应该尽可能简洁明了，易于理解和维护。
可以根据实际需求，定义不同的 Policy 方法，例如 view, create, update, delete 等。
可以利用 Gate::define 定义更复杂的权限规则，例如基于角色或权限的访问控制。

通过以上步骤，可以有效地解决 Laravel 中的 "403 THIS ACTION IS UNAUTHORIZED" 错误，并实现细粒度的权限控制，从而提高应用程序的安全性。

宝塔面板如何升级到最新版本_面板升级操作方法【教程】

Windows下Workerman支持多进程吗_系统限制说明与解决方法【说明】

宝塔面板环境下如何安装并运行Swoole扩展？

Swoole版本回滚怎么操作_Swoole旧版本恢复方法【介绍】

Revolt事件驱动是什么_Workerman5.0底层引擎介绍【介绍】

相关专题

laravel组件介绍

laravel 提供了丰富的组件，包括身份验证、模板引擎、缓存、命令行工具、数据库交互、对象关系映射器、事件处理、文件操作、电子邮件发送、队列管理和数据验证。想了解更多laravel的相关内容，可以阅读本专题下面的文章。

340

2024.04.09

laravel中间件介绍

laravel 中间件分为五种类型：全局、路由、组、终止和自定。想了解更多laravel中间件的相关内容，可以阅读本专题下面的文章。

293

2024.04.09

laravel使用的设计模式有哪些

laravel使用的设计模式有：1、单例模式；2、工厂方法模式；3、建造者模式；4、适配器模式；5、装饰器模式；6、策略模式；7、观察者模式。想了解更多laravel的相关内容，可以阅读本专题下面的文章。

773

2024.04.09

thinkphp和laravel哪个简单

对于初学者来说，laravel 的入门门槛较低，更易上手，原因包括：1. 更简单的安装和配置；2. 丰富的文档和社区支持；3. 简洁易懂的语法和 api；4. 平缓的学习曲线。本专题为大家提供相关的文章、下载、课程内容，供大家免费下载体验。

385

2024.04.10

laravel入门教程

本专题整合了laravel入门教程，想了解更多详细内容，请阅读专题下面的文章。

141

2025.08.05

laravel实战教程

本专题整合了laravel实战教程，阅读专题下面的文章了解更多详细内容。

2025.08.05

laravel面试题

本专题整合了laravel面试题相关内容，阅读专题下面的文章了解更多详细内容。

2025.08.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

574

2026.03.04