答案:Laravel通过PostPolicy实现权限控制,如用户只能编辑自己的文章,并在控制器中用authorize方法检查权限。
在 Laravel 中,基于策略(Policy)的授权机制是处理复杂权限控制的推荐方式。它将授权逻辑从控制器中解耦,使代码更清晰、可维护性更高。尤其在涉及用户对资源的访问控制时,比如“用户只能编辑自己发布的文章”,Policy 提供了优雅的解决方案。
创建并注册 Policy
Laravel 的 Policy 是与模型绑定的类,用于定义该模型上可执行的操作。例如,针对 Post 模型进行权限管理:
- 使用 Artisan 命令生成 Policy:
php artisan make:policy PostPolicy --model=Post - 生成后,Laravel 会在
app/Policies目录下创建PostPolicy.php - 在
AuthServiceProvider中注册模型与策略的对应关系:
protected $policies = [
Post::class => PostPolicy::class,
];
定义复杂的授权逻辑
Policy 类中的每个方法对应一种操作(如 view、create、update、delete)。你可以根据业务需求编写任意复杂的判断逻辑。
例如,在PostPolicy@edit 中限制只有作者或管理员可以编辑:
public function edit(User $user, Post $post)
{
return $user->id === $post->user_id || $user->isAdmin();
}
也可以实现更复杂的场景,比如:文章发布后24小时内允许修改,之后仅管理员可改:
public function update(User $user, Post $post)
{
if ($post->isPublished() && now()->diffInHours($post->published_at) > 24) {
return $user->hasRole('admin');
}
return $user->id === $post->user_id;
}
在控制器中使用 Policy 授权
一旦定义好策略方法,就可以在控制器中通过 authorize() 方法触发检查:
public function edit(Post $post)
{
$this->authorize('edit', $post);
return view('posts.edit', compact('post'));
}
如果当前用户无权操作,Laravel 会自动抛出 403 异常。你也可以使用辅助方法判断并做条件渲染:
@can('update', $post) 编辑按钮 @endcan
支持 Guest 用户与多角色场景
Policy 方法的第一个参数是当前用户,可能为 null(未登录)。因此需注意空值判断:
public function delete(?User $user, Post $post)
{
// 匿名用户不能删除
if (! $user) {
return false;
}
// 作者或管理员可删除
return $user->id === $post->user_id || $user->hasRole('admin');
}
结合 Laravel 的 Gate 或角色权限包(如 spatie/laravel-permission),还能实现更细粒度的控制,例如按权限名称判断:
return $user->can('delete-posts');
基本上就这些。合理使用 Policy 能让权限逻辑集中管理,避免散落在各个控制器中,提升项目可维护性和安全性。关键是把业务规则写进 Policy 方法,并在入口处统一调用 authorize 检查。不复杂但容易忽略的是边界情况处理,比如时间窗口、状态流转和用户类型兼容。
