答案:Laravel通过自定义中间件实现角色权限控制,使用Artisan命令创建中间件,编写handle方法校验用户角色,注册到Kernel并应用于路由或控制器,确保仅授权用户访问特定资源。
在 Laravel 中,中间件是处理 HTTP 请求和响应的绝佳方式,常用于权限控制、日志记录、身份验证等场景。通过自定义中间件,我们可以灵活地控制用户对特定路由的访问权限。
创建自定义中间件
使用 Artisan 命令生成中间件:
php artisan make:middleware CheckRole
这会在 app/Http/Middleware 目录下生成一个 CheckRole.php 文件。
编写权限逻辑
打开生成的中间件文件,修改 handle 方法以实现角色判断:
namespace App\Http\Middleware;
use Closure;
use Illuminate\Support\Facades\Auth;
class CheckRole
{
public function handle($request, Closure $next, ...$roles)
{
$user = Auth::user();
if (!$user) {
return redirect('login');
}
if (!in_array($user->role, $roles)) {
abort(403, '无权访问该页面');
}
return $next($request);
}
}
上述代码中,我们接收多个角色作为参数,检查当前登录用户的角色是否匹配。如果不匹配,则拒绝访问。
注册中间件
将中间件注册到内核中,以便在应用中使用。打开 app/Http/Kernel.php,在 $routeMiddleware 数组中添加:
'role' => \App\Http\Middleware\CheckRole::class,
在路由中使用中间件
现在可以在路由中使用这个中间件来限制访问。例如:
Route::get('/admin', function () {
return '管理员面板';
})->middleware('role:admin');
Route::get('/editor', function () {
return '编辑器页面';
})->middleware('role:admin,editor');
这样,只有角色为 admin 的用户可以访问第一个路由;第二个路由则允许 admin 或 editor 角色访问。
也可以在控制器中使用中间件:
class AdminController extends Controller
{
public function __construct()
{
$this->middleware('role:admin');
}
}
基本上就这些。通过自定义中间件,Laravel 能轻松实现基于角色的权限控制,结构清晰且易于维护。关键在于中间件的参数传递和逻辑判断要准确,配合认证系统即可完成大多数权限需求。
