Question

У меня есть функция, которая проверяет, есть ли у пользователя разрешение или нет, и он возвращает Boolean .

Вопрос

Как я могу проверитьв каждой функции пользователь имеет разрешение или нет.Например, в контроллер пользователя У меня есть 2 функции:

index (): показать всех пользователей
delete ($ id): удалить одного пользователя

index ():

public function index () {
    if(Auth::user() -> hasPermissionTo('show all users')) {
        // continue for API
    } else {
        // response with error for API
    }
}

Я знаю, что есть лучший способ сделать это, потому что я не хочу повторять это выражение if во всехмои функции.

Что я пытался сделать:

Я попытался создать вспомогательную функцию, которая проверяет, есть ли у пользователя разрешение, и возвращает ошибку ответа, если пользовательне имеет разрешенияИ вызывать его в каждой функции, но это не сработало.

Код вспомогательной функции:

if(!function_exists('userHasPermission')) {
    function userHasPermission ($permission) {
        $main_permission = 'do everything';
        if (!Auth::user() -> hasPermissionTo($main_permission) || !Auth::user() -> hasPermissionTo($permission)) {
            $res = trans('api_responses.authorization_failed');
            return Response::json([
                'message'   =>  $res['message'],
                'code'      =>  $res['code']
            ], $res['code']);
        }
    }
}

вызов функции индекса

public function index()
    {
        // PERMISSIONS CHECK
        userHasPermission('users show active');
        $getUsers = $this -> users -> getAllActive();
        return Response::json($getUsers);
    }

Но он никогда не возвращает ответ об ошибке, даже если у пользователя нет разрешения, и даже он ввел оператор if в моем помощнике!

Peter · Answer 1 · 04 октября 2018

С Laravel вы можете использовать ворота для этого.

В вашем файле App \ Providers \ AuthServiceProvider сделайте что-то вроде этого:

public function boot()
{
    $this->registerPolicies();

    Gate::define('do-everything', function ($user) {
        return $user->hasPermission('do-everything');
    });

    Gate::define('do-one-thing', function ($user) {
        return $user->hasPermission('do-one-thing');
    });
}

А затем в вашем контроллере:

if (Auth::user()->can('do-everything')) {
    // the user can do everything
}

if (Auth::user()->can('do-one-thing')) {
    // the user can just do one thing
}

или

if (!Auth::user()->can('do-everything')) {
    abort(403);
}
// user has permission to the everything from here on

, либо в вашем маршруте / web.php вы можете сделать это:

Route::get('/things', 'ThingController@action')->middleware(['can:do-one-thing']);

или вы можете сгруппировать маршруты следующим образом:

Route::middleware(['can:do-everything'])->group(function () {
    Route::get('/things', 'ThingController@index');
    Route::get('/other-things', 'OtherThingController@index');
    ...
}

Вы также можете посмотреть на https://laravel.com/docs/5.7/authorization, чтобы узнать больше идей.

Mostafa Khedeer · Answer 2 · 24 марта 2019

Этот способ проверки нескольких разрешений для решения шо

  @php
                        $patients_menu_item=0;
                        $users_menu_item=0;
                        $roles_menu_item=0;
                            if(Auth::user() -> hasPermissionTo('Patient Add')||Auth::user() -> hasPermissionTo('Patients List')) {
                              $patients_menu_item=1;
                            }
                            if(Auth::user() -> hasPermissionTo('User Add')||Auth::user() -> hasPermissionTo('Users List')) {
                              $users_menu_item=1;
                            }
                            if(Auth::user() -> hasPermissionTo('Role Add')||Auth::user() -> hasPermissionTo('Roles List')) {
                              $roles_menu_item=1;
                            }
                    @endphp
                    @if($patients_menu_item == 1)
                        <li class="has-sub">
                            <a>
                                <i class="ft-users"></i><span class="menu-title">Patients</span>
                            </a>
                            <ul class="menu-content">
                                @can('Patient Add')
                                    <li>
                                        <a href="{{url('patients/register')}}"
                                           class="menu-item">Register Patient</a>
                                    </li>
                                @endcan
                                @can('Patients List')
                                    <li>
                                        <a href="{{url('patients/index')}}"
                                           class="menu-item">{{ trans('website.Show Patients') }}</a>
                                    </li>
                                @endcan
                            </ul>
                        </li>
                    @endif

Ahmed Nour Jamal El-Din · Answer 3 · 04 октября 2018

Ваша вспомогательная функция возвращает новый ответ, но возвращает его контроллеру не как HTTP-ответ, поэтому вы можете получить возвращаемое значение следующим образом:

public function index()
    {
        // PERMISSIONS CHECK
        $response = userHasPermission('users show active');


        $getUsers = $this -> users -> getAllActive();
        return Response::json($getUsers);
    }

Итак, вам нужно проверить ответесли оно имеет значение, но при таком подходе у вас возникнет та же проблема, что и у вашего первого.

Чтобы решить его: выведите исключение из вспомогательной функции вместо возврата какого-либо ответа.

Лучшее решение состоит в том, чтобы использовать FormRequest, для этого проверьте ссылку , обязательно проверьте раздел «Авторизация запросов формы», в котором указана функция авторизации.

РЕДАКТИРОВАТЬ:

вам нужно сделать следующее:

создать новый класс, назовем его «IndexRequest», который наследует от класса «FormRequest», а затем реализовать метод authorize.

так что-то вроде этого:

class IndexRequest extends FormRequest
{
      /**
      * Determine if the user is authorized to make this request.
      *
      * @return bool
      */
      public function authorize()
      {
          return Auth::user() -> hasPermissionTo('show all users');
      }

          /**
      * Get the validation rules that apply to the request.
      *
      * @return array
      */
     public function rules()
     {
         return [
         ];
     }
 }

тогда в вашем методе:

public function index(IndexRequest $request)
{
   $getUsers = $this -> users -> getAllActive();
   return Response::json($getUsers);
}

вам не нужно проверять это вручную, Laravel сделает это за васиспользуя функцию авторизациикласс класса IndexRequest.

Как проверить, есть ли у пользователя разрешение на доступ к этой функции в Laravel

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Как проверить, есть ли у пользователя разрешение на доступ к этой функции в Laravel

Пожалуйста, войдите или зарегистрируйтесь чтобы ответить на этот вопрос.

Ответы [ 3 ]

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Пожалуйста, войдите или зарегистрируйтесь что бы добавить комментарий.

Нет похожих вопросов