Gate是基于闭包的权限控制,适用于通用逻辑;Policy则是针对模型的权限类,适合资源操作。两者均可在控制器、路由或Blade模板中使用,结合中间件实现灵活的安全控制。
在 Laravel 中,Gate 和 Policy 是实现权限控制的核心机制,用于判断用户是否有权执行某个操作。它们可以灵活地配合中间件、控制器或 Blade 模板使用,确保应用的安全性。
什么是 Gate?
Gate 是基于闭包的简单权限定义方式,适合处理通用或与特定模型无关的权限逻辑。
例如:判断用户是否为管理员,或者是否能发布文章。
- 在 App\Providers\AuthServiceProvider 的 boot 方法中定义 Gate:
use Illuminate\Support\Facades\Gate;Gate::define('publish-post', function ($user) { return $user->role === 'admin'; });
Gate::define('edit-post', function ($user, $post) { return $user->id === $post->user_id; });
- 在控制器中使用:
if (Gate::allows('edit-post', $post)) {
// 允许编辑
}
if (Gate::denies('publish-post')) {
abort(403);
}
- 或使用便捷方法:
$this->authorize('edit-post', $post); // 自动抛出 403 异常
什么是 Policy?
Policy 是针对特定模型的权限类,将相关权限逻辑组织在一起,更适合资源型操作(如文章、评论等)。
- 创建 Policy 类:
php artisan make:policy PostPolicy --model=Post
- 在 AuthServiceProvider 中注册:
use App\Models\Post; use App\Policies\PostPolicy;protected $policies = [ Post::class => PostPolicy::class, ];
- 编辑 PostPolicy.php 定义方法:
public function update(User $user, Post $post)
{
return $user->id === $post->user_id;
}
public function delete(User $user, Post $post)
{
return $user->id === $post->user_id;
}
public function create(User $user)
{
return $user->role === 'author';
}
- 使用 Policy:
// 控制器中
$this->authorize('update', $post);
// 手动检查
Gate::allows('update', $post);
在 Blade 模板中控制显示
使用 @can、@cannot 指令根据权限决定是否渲染内容。
@can('edit-post', $post)
编辑
@endcan
@cannot('delete', $post)
无删除权限
@endcannot
结合中间件控制路由访问
在路由中使用中间件限制访问。
Route::put('/posts/{post}', function (Post $post) {
// 更新逻辑
})->middleware('can:update,post');
也可以在控制器构造函数中设置:
public function __construct()
{
$this->middleware('can:update,post')->only('edit', 'update');
}
基本上就这些。合理使用 Gate 和 Policy 能让权限管理更清晰,建议模型相关操作用 Policy,通用权限用 Gate。
