Laravel5做权限管理
最近用laravel设计后台,后台需要有个权限管理。权限管理实质上分为两个部分,首先是认证,然后是权限。认证部分非常好做,就是管理员登录,记录session。这个laravel中也有自带Auth来实现这个。最麻烦就是权限认证。
权限认证本质上就是谁有权限管理什么东西。这里有两个方面的维度,谁,就是用户维度,在用户维度,权限管理的粒度可以是用户一个人,也可以是将用户分组,如果将用户分组,则涉及到的逻辑是一个用户可以在多个组里面吗?在另外一方面,管理什么东西,这个东西是物的维度,一个页面是一个东西,一个页面上的一个元素也是一个东西,或者往大了说,一个功能是一个东西。所以做权限管理最重要的是确认这两个维度的粒度。这个已经不是技术的事情了,这个是需要需求讨论的了。
基于上面的思考,我这次想做的权限管理,在用户维度,是基于个人的。就是每个人的权限不一样。在东西的维度,我设置路由为最小的单位,即可以为单个路由设置权限管理。
下面的思考就是使用什么来标记权限,可以使用位,也可以使用字符,也可以使用整型。后来我选择了字符,基于两点考虑:1 字符浅显易懂,在数据库中查找也比较方便 2 我没有按照某个权限查找有这个权限的人的需求,即没有反查需求,使用位,整型等都意义不大。
接下来考虑如何和laravel结合,既然要为每个路由设置访问权限,那么我当然希望能在laravel的route.php路由管理中配置。最好就是在Route::get的时候有个参数能设置permission。这样做的好处是权限设置简易了。在决定路由的时候,就顺手写了权限控制。坏处呢,也很明显,laravel路由的三种方式只能写一种了。就是Route::(method)这样的方式了。
基本决定好了就开干。
基本的路由是这样的
Route::post(/admin/validate, [uses = AdminController@postValidate, permissions= [admin.validate, admin.index]]);
这里在基本的制定路由action之后设置了一个permissions的属性,这个属性设计成数组,因为比如一个post请求,它可能在某个页面会触发,也可能在另外一个页面触发,那么这个post请求就需要同时拥有两个页面路由的权限。
这里使用admin.validate的权限控制,这样,可以将权限分组,admin都是关于admin相关的分组,在数据库中,我就会存储一个二维数组,[admin] = [validate, index]; 存储成二维数组而不是一维的好处呢,一般后台展示是有两个维度的,一个是头部的tab栏,一个是左边的nav栏,就是说这个二维的数组和后台的tab,nav栏是一一对应的。
中间件设计好了,下面我们就挂上中间件,并且设置所有的路由都走这个中间件
?php namespace App\Http\Middleware;
use Illuminate\Support\Facades\Session;
use Closure;
class Permission {
* Handle an incoming request.
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
public function handle($request, Closure $next)
$permits = $this- getPermission($request);
$admin = \App\Http\Middleware\Authenticate::getAuthUser();
// 只要有一个有权限,就可以进入这个请求
foreach ($permits as $permit) {
if ($permit == *) {
return $next($request);
if ($admin- hasPermission($permit)) {
return $next($request);
echo "没有权限,请联系管理员";exit;
// 获取当前路由需要的权限
public function getPermission($request)
$actions = $request- route()- getAction();
if (empty($actions[permissions])) {
echo "路由没有设置权限";exit;
return $actions[permissions];
}
这里最关键的就getPermission函数,从$request- route()- getAction()来获取出这个路由的action定义,然后从其中的permissions字段中获取route.php中定义的路由权限。
然后上面的middleware有个admin− hasPermission(admin− hasPermission(permit); 这个就涉及到model的设计。
model设计 ?php namespace App\Models\Admin;
use App\Models\Model as BaseModel;
class Admin extends BaseModel {
protected $table = admin;
// 判断是否有某个权限
public function hasPermission($permission)
$permission_db = $this- permissions;
if(in_array($permission, $permission_db)) {
return true;
return false;
// permission 是一个二维数组
public function getPermissionsAttribute($value)
if (empty($value)) {
return [];
$data = json_decode($value, true);
$ret = [];
foreach ($data as $key = $value) {
$ret[] = $key;
foreach ($value as $value2) {
$ret[] = "{$key}.{$value2}";
return array_unique($ret);
// 全局设置permission
public function setPermissionsAttribute($value)
$ret = [];
foreach ($value as $item) {
$keys = explode(., $item);
if (count($keys) != 2) {
continue;
$ret[$keys[0]][] = $keys[1];
$this- attributes[permissions] = json_encode($ret);
}
在数据库中,我将二维数组存储为json,利用laravel的Attribute的get和set方法,完成了数据库中json和外界程序逻辑的连接。然后hasPermission就显得很轻松了,直接判断in_array就ok了。
这个权限认证的逻辑就清晰了。然后如果页面中某个tab或者nav需要对不同权限的用户展示,只需要在view中判断
@if ($admin- hasPermission(admin.index)) @endif
就可以判断这个用户是否可以看到这个tab了。
这个是一个不算复杂的用户权限实现,但是我感觉已经能满足大部分的后台需求了。当然可以优化的点可能很多,
比如permission是不是可以支持正则,hasPermission如果存储在nosql或者pg中,是不是不用进行json的数据解析,直接一个DB请求就能判断是否有permission之类的?
Django API 开发:博客系统的权限管理(中) 安全性是任何网站的重要组成部分,但对于 Web API 而言则至关重要。 目前,我们的 Blog API 允许任何人进行完全访问。 没有任何限制; 任何用户都可以做任何极其危险的事情。 例如,匿名用户可以创建,阅读,更新或删除任何博客文章。 他们甚至没有创造一个! 显然,我们不希望这样做。
Django API 开发:博客系统的权限管理(下) 安全性是任何网站的重要组成部分,但对于 Web API 而言则至关重要。 目前,我们的 Blog API 允许任何人进行完全访问。 没有任何限制; 任何用户都可以做任何极其危险的事情。 例如,匿名用户可以创建,阅读,更新或删除任何博客文章。 他们甚至没有创造一个! 显然,我们不希望这样做。
Django API 开发:博客系统的权限管理(上) 安全性是任何网站的重要组成部分,但对于 Web API 而言则至关重要。 目前,我们的 Blog API 允许任何人进行完全访问。 没有任何限制; 任何用户都可以做任何极其危险的事情。 例如,匿名用户可以创建,阅读,更新或删除任何博客文章。 他们甚至没有创造一个! 显然,我们不希望这样做。
开发指南—权限管理—角色权限管理 本文介绍角色权限管理相关语法级示例。 PolarDB-X兼容原生MySQL 8.0基于橘色的权限控制,请参见基于角色的权限控制。
开发指南—权限管理—账号权限管理 本文介绍了账号权限管理的相关操作。 PolarDB-X账号和权限系统的用法与MySQL 5.7一致,支持GRANT、REVOKE、SHOW GRANTS、CREATE USER、DROP USER、SET PASSWORD等语句,目前支持库级和表级权限的授予,全局级别和列级别权限暂时不支持。
推荐超好用的 6 款 Laravel Admin 管理模版 如果您正在为您的企业调研开发 Admin 管理后台的最佳方案,那么基于 PHP 的 Laravel 框架会是一个不错的选择,它灵活且易用,还提供了一系列开发规范和组件加速我们的开发。
【Ruby on Rails全栈课程】3.8 权限管理之超级管理员审批功能实现 Rails提供一个叫做cancan的权限管理的插件,可以用来做权限控制,不过我们项目的权限管理不通过这个gem插件实现,通过控制用户角色字段来控制权限,这样灵活性比较大。
相关文章
- 公司新来了一个同事,把权限系统设计的炉火纯青!
- Oracle创建表空间、创建用户、授予权限、锁定、解锁以及删除用户等[通俗易懂]
- 【Android 应用开发】动态权限管理示例 ( 使用原生代码实现 | 申请权限 | 判定权限申请结果 | 判定 “ 不再询问 “ 情况 )
- MySQL用户和数据权限管理详解
- 理解Linux用户及权限管理(linux用户和权限管理)
- 文件夹权限管理Linux LS命令实施文件夹权限管理(linuxls实现)
- Linux可读权限:一次了解全部(linux可读权限)
- 权限Linux下修改文件权限,让其具有可写性(linux修改文件可写)
- 管理Linux用户权限管理:分享与控制(linux用户的权限)
- 控制Linux系统中权限控制的重要性(linux中的权限)
- 多级别控制Redis实现多用户多级别权限控制(redis多用户)
- Linux系统权限漏洞:安全隐患需警惕(linux权限漏洞)
- 权限Linux设置权限:读、写、执行(linux读写)
- 管理MySQL服务器权限管理:实现安全的数据访问(mysql服务器权限)
- Linux 权限操作实训:实现安全管理(linux权限实训)
- 如何在 Ubuntu 上为用户授予和移除 sudo 权限
- 掌握chmod oracle权限管理,保障数据安全(chmodoracle)
- MySQL权限管理: 解决常见权限问题(mysql权限问题)
- Linux 新手必读!如何添加属组来提升权限管理能力(linux添加属组)
- Linux文件系统权限管理与用户权限配置(linux 文件 用户)
- 配置MySQL数据库权限,实现安全管理(修改mysql数据库权限)
- 管理Oracle中管理回收权限的最佳实践(oracle中回收权限的)
- js模拟权限选择实现代码(select操作)