Laravel 权限控制 Gate Policy

不言

发布时间：2018-06-05 09:46:04

2348人浏览过

来源于php中文网

原创

这篇文章主要介绍了关于Laravel 权限控制 Gate Policy，有着一定的参考价值，现在分享给大家，有需要的朋友可以参考一下

关于权限

本质针对一段可执行的逻辑单元描述是否开启生产的判断。

定义必定有一用户实例或唯一标识参数，以及与之关联的使用资源。通常使用闭包或函数或方法

使用调用权限逻辑单元句柄，参数权限操作对象，用户信息。

源起

最基本的权限控制，三元运算符？：。很显然条件判断，后面跳到相应的执行逻辑。

laravel的思路是将执行逻辑（生产代码），授权（条件判断逻辑）进行分离。重点关注条件的产生，通俗讲强化授权逻辑（这对复杂的授权十分有用）。公设：所有的代码在服务注册完毕后，启动。所以下面这段代码会被注册。其目的是找到真正授权判断的逻辑体。

Gate::define('update articles', 'ArticlePolicy@update')

其中第一个参数显然只是一个授权标识符（用来调用的句柄参数），第二个参数才为授权的逻辑执行体。

laravel授权定义

在 AuthServiceProvider 的 boot 方法里定义授权

Gate::define('update articles', function ($user, $article) {
    return $user->id == $article->user_id;
});

Gate::define('update articles', 'ArticlePolicy@edit');

<?php

namespace App\Policies;

use App\User;
use App\Models\Article;

class ArticlePolicy
{
    public function update(User $user, Article $article)
    {
        return $user->id == $article->author_id;
    }
}

laravel授权使用

Gate 门面：Gate::allows('update articles', $article) 和 Gate::denies('update articles', $article)。
Controller 引入了

trait AuthorizesRequests

阿里妈妈·创意中心
阿里妈妈营销创意中心

下载

$this->authorize('update articles', $article)。
Blade 模板：@can('update articles', $article) 和 @cannot('update articles', $article) 指令。
User Model 实例：$user->can('update articles', $article) 和 $user->cannot('update articles', $article)。

Laravel Policy

为了方便地定义和使用授权，Laravel 在Gate的基础上引入了 Policy。policy内部的每一个方法，都会被用gate::define方法的描述注册。所以这就是为什么使用了策略类注册之后，即便没有用Gate门面定义授权逻辑，在控制器内仍然可以使用Gate::allow('策略类方法')的形式来进行授权判断。

在 AuthServiceProvider 的 policies 数组属性里先定义授权映射关系

/**
 * The policy mappings for the application.
 *
 * @var array
 */
protected $policies = [
    Article::class => ArticlePolicy::class,
];

<?php

namespace App\Policies;

use App\User;
use App\Models\Article;
use Illuminate\Auth\Access\HandlesAuthorization;

class ArticlePolicy
{
    use HandlesAuthorization;

    public function create(User $user)
    {
        return true;
    }

    public function delete(User $user, Article $article)
    {
        return $user->id == $article->author_id;
    }

     public function before($user, $ability)
    {
        if($user->isSuperAdmin()){
            return true;
        }
    }
 }

注意：

Policy 只是在普通 PHP 类基础上添加了一个 HandlesAuthorization trait。

在 Policy 中会在所有方法执行前调用，经常用到的地方就是处理管理员授权逻辑。

相关专题

TypeScript类型系统进阶与大型前端项目实践

本专题围绕 TypeScript 在大型前端项目中的应用展开，深入讲解类型系统设计与工程化开发方法。内容包括泛型与高级类型、类型推断机制、声明文件编写、模块化结构设计以及代码规范管理。通过真实项目案例分析，帮助开发者构建类型安全、结构清晰、易维护的前端工程体系，提高团队协作效率与代码质量。

2026.03.13

Python异步编程与Asyncio高并发应用实践

本专题围绕 Python 异步编程模型展开，深入讲解 Asyncio 框架的核心原理与应用实践。内容包括事件循环机制、协程任务调度、异步 IO 处理以及并发任务管理策略。通过构建高并发网络请求与异步数据处理案例，帮助开发者掌握 Python 在高并发场景中的高效开发方法，并提升系统资源利用率与整体运行性能。

2026.03.12

C# ASP.NET Core微服务架构与API网关实践

本专题围绕 C# 在现代后端架构中的微服务实践展开，系统讲解基于 ASP.NET Core 构建可扩展服务体系的核心方法。内容涵盖服务拆分策略、RESTful API 设计、服务间通信、API 网关统一入口管理以及服务治理机制。通过真实项目案例，帮助开发者掌握构建高可用微服务系统的关键技术，提高系统的可扩展性与维护效率。

276

2026.03.11

Go高并发任务调度与Goroutine池化实践

本专题围绕 Go 语言在高并发任务处理场景中的实践展开，系统讲解 Goroutine 调度模型、Channel 通信机制以及并发控制策略。内容包括任务队列设计、Goroutine 池化管理、资源限制控制以及并发任务的性能优化方法。通过实际案例演示，帮助开发者构建稳定高效的 Go 并发任务处理系统，提高系统在高负载环境下的处理能力与稳定性。

2026.03.10

Kotlin Android模块化架构与组件化开发实践

本专题围绕 Kotlin 在 Android 应用开发中的架构实践展开，重点讲解模块化设计与组件化开发的实现思路。内容包括项目模块拆分策略、公共组件封装、依赖管理优化、路由通信机制以及大型项目的工程化管理方法。通过真实项目案例分析，帮助开发者构建结构清晰、易扩展且维护成本低的 Android 应用架构体系，提升团队协作效率与项目迭代速度。

2026.03.09

JavaScript浏览器渲染机制与前端性能优化实践

本专题围绕 JavaScript 在浏览器中的执行与渲染机制展开，系统讲解 DOM 构建、CSSOM 解析、重排与重绘原理，以及关键渲染路径优化方法。内容涵盖事件循环机制、异步任务调度、资源加载优化、代码拆分与懒加载等性能优化策略。通过真实前端项目案例，帮助开发者理解浏览器底层工作原理，并掌握提升网页加载速度与交互体验的实用技巧。

105

2026.03.06

Rust内存安全机制与所有权模型深度实践

本专题围绕 Rust 语言核心特性展开，深入讲解所有权机制、借用规则、生命周期管理以及智能指针等关键概念。通过系统级开发案例，分析内存安全保障原理与零成本抽象优势，并结合并发场景讲解 Send 与 Sync 特性实现机制。帮助开发者真正理解 Rust 的设计哲学，掌握在高性能与安全性并重场景中的工程实践能力。

230

2026.03.05

PHP高性能API设计与Laravel服务架构实践

本专题围绕 PHP 在现代 Web 后端开发中的高性能实践展开，重点讲解基于 Laravel 框架构建可扩展 API 服务的核心方法。内容涵盖路由与中间件机制、服务容器与依赖注入、接口版本管理、缓存策略设计以及队列异步处理方案。同时结合高并发场景，深入分析性能瓶颈定位与优化思路，帮助开发者构建稳定、高效、易维护的 PHP 后端服务体系。

619

2026.03.04