Laravel策略(Policy)用于控制基于模型的细粒度权限,如Post模型的编辑权。1. 使用php artisan make:policy PostPolicy --model=Post生成策略类;2. 系统自动在AuthServiceProvider中注册模型与策略映射;3. 在PostPolicy中定义update、delete等方法校验用户权限;4. 控制器中调用$this->authorize('update', $post)触发检查;5. Blade模板使用@can('update', $post)控制元素显示;6. Gates适用于全局权限(如访问后台),Policies适用于模型操作。优先使用Policy管理模型权限,Gates处理通用规则,两者结合提升安全性与代码可维护性。
在Laravel中,权限控制是构建安全Web应用的重要环节。当多个用户角色需要对资源进行不同操作时,仅靠中间件无法满足细粒度控制需求。Laravel提供了Gates(门面)和Policies(策略)两种机制来实现授权。本文重点讲解Laravel策略(Policy)如何控制权限,并简要对比Gates与Policies的使用场景。
什么是Laravel策略(Policy)?
Policy 是针对特定模型或资源的类,用来组织复杂的授权逻辑。比如,你有一个 Post 模型,希望只有作者才能编辑或删除自己的文章,这时就可以为 Post 创建一个 PostPolicy 类,将所有与文章相关的权限判断集中管理。
Policy 的核心优势在于:将授权逻辑从控制器中解耦,提升代码可读性和可维护性。
创建并注册Policy
Laravel 提供 Artisan 命令快速生成 Policy:
php artisan make:policy PostPolicy --model=Post
该命令会生成 app/Policies/PostPolicy.php 文件,并自动在 AuthServiceProvider 中注册模型与策略的映射关系:
// app/Providers/AuthServiceProvider.php
protected $policies = [
Post::class => PostPolicy::class,
];
注册后,Laravel 会自动在检查 Post 相关权限时调用对应的 Policy 方法。
定义Policy方法并使用
在 PostPolicy 中可以定义多个方法,例如:
class PostPolicy
{
public function update(User $user, Post $post)
{
return $user->id === $post->user_id;
}
public function delete(User $user, Post $post)
{
return $user->id === $post->user_id;
}
}
在控制器中使用策略:
public function edit(Post $post)
{
$this->authorize('update', $post);
return view('posts.edit', compact('post'));
}
$this->authorize() 会自动调用对应策略的 update 方法。如果返回 false,会抛出 AuthorizationException,通常跳转到 403 页面。
也可以在 Blade 模板中使用:
@can('update', $post)
<a href="/posts/{{ $post->id }}/edit">编辑</a>
@endcan
Gates 与 Policies 如何选择?
Gates 更适合全局、非模型相关的权限判断,比如“是否能访问后台”:
Gate::define('access-admin', function (User $user) {
return $user->hasRole('admin');
});
// 使用
@if(Gate::allows('access-admin'))
<a href="/admin">进入后台</a>
@endif
Policies 更适合基于模型的操作控制,如文章的增删改查。它结构清晰,易于维护。
总结:
- 涉及具体模型(如 Post、Comment)的操作,优先使用 Policy
- 通用权限或跨模型判断,使用 Gate
- 两者可结合使用,Laravel 授权系统非常灵活
基本上就这些。掌握 Policy 的使用,能让你的 Laravel 应用权限体系更清晰、更安全。
