答案:通过数据库设计角色与权限表并建立模型关联,利用中间件校验角色访问,结合Laravel策略实现资源级控制,推荐使用Spatie包简化流程。
在 Laravel 中实现用户角色的权限管理系统,核心是结合数据库设计、中间件和策略(Policies)来控制不同用户对资源的访问。不需要依赖复杂包也能搭建一个清晰、可维护的权限系统,当然也可以使用如 Spatie Laravel-Permission 这类流行扩展包来加速开发。
1. 数据库结构设计
要支持角色和权限,至少需要三张表:
- users:存储用户信息
- roles:存储角色,如 admin、editor、user
- permissions:存储具体权限,如 create-post、edit-user
- 中间表:role_user(用户与角色多对多)、permission_role(权限与角色多对多)
示例迁移文件中的字段:
- roles: id, name, guard_name, created_at, updated_at - permissions: id, name, guard_name, created_at, updated_at - role_user: role_id, user_id - permission_role: permission_id, role_id2. 模型关系定义
在 User、Role、Permission 模型中建立关联:
User 模型:
public function roles()
{
return $this->belongsToMany(Role::class);
}
public function hasRole($role)
{
if (is_string($role)) {
return $this->roles->contains('name', $role);
}
return !! $role->intersect($this->roles)->count();
}
Role 模型:
public function permissions()
{
return $this->belongsToMany(Permission::class);
}
public function users()
{
return $this->belongsToMany(User::class);
}
Permission 模型:
public function roles()
{
return $this->belongsToMany(Role::class);
}
3. 创建中间件控制路由访问
使用 Artisan 创建中间件:
php artisan make:middleware CheckRole
在中间件中检查用户是否具备某角色:
class CheckRole
{
public function handle($request, \Closure $next, $role)
{
if (! $request->user() || ! $request->user()->hasRole($role)) {
abort(403, '无权访问');
}
return $next($request);
}
}
'role' => \App\Http\Middleware\CheckRole::class,
在路由中使用:
Route::get('/admin', function () {
//
})->middleware('role:admin');
4. 使用 Laravel Policies 管理资源权限
对于更细粒度的控制(如编辑某篇文章),推荐使用 Laravel 自带的授权策略(Policies)。
该系统采用多层模式开发,这个网站主要展示女装的经营,更易于网站的扩展和后期的维护,同时也根据常用的SQL注入手段做出相应的防御以提高网站的安全性,本网站实现了购物车,产品订单管理,产品展示,等等,后台实现了动态权限的管理,客户管理,订单管理以及商品管理等等,前台页面设计精致,后台便于操作等。实现了无限子类的添加,实现了动态权限的管理,支持一下一个人做的辛苦
生成策略:
php artisan make:policy PostPolicy --model=Post
在 AuthServiceProvider 中注册:
Gate::policy(Post::class, PostPolicy::class);
在 PostPolicy 中定义方法:
public function edit(User $user, Post $post)
{
return $user->id === $post->user_id || $user->hasRole('editor');
}
控制器中使用:
public function edit(Post $post)
{
$this->authorize('edit', $post);
// 允许继续
}
5. 推荐使用 Spatie Laravel-Permission 扩展包
手动实现虽灵活但耗时。Spatie 提供的 laravel-permission 包已非常成熟,简化了大部分流程。
安装:
composer require spatie/laravel-permission
发布迁移并执行:
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider"
php artisan migrate
用法示例:
// 分配角色
$user->assignRole('writer');
// 分配权限
$user->givePermissionTo('edit-post');
// 角色绑定权限
$role = Role::findByName('editor');
$role->givePermissionTo('delete-post');
模板中判断:
@can('edit-post') ... @endcan中间件也支持:
middleware(['role:admin', 'permission:edit-post'])
基本上就这些。根据项目规模选择手动实现或使用扩展包,都能在 Laravel 中构建出稳定的角色权限系统。
