Zizaco/Entrust 是 Laravel 下 用戶權限系統 的解決方案, 配合 用戶身份認證 擴展包 Zizaco/confide 使用, 可以快速搭建出一套具備高擴展性的用戶系統.
Confide, Entrust 和 Sentry
首先兩個概念分清楚:
- 用戶身份認證 Authentication - 處理用戶登錄, 退出, 注冊, 找回密碼, 重置密碼, 用戶郵箱認證 etc..
- 權限管理 Authorization - 負責
用戶與權限,用戶組三者之間的對應, 以及管理.
下面是這幾個 Package 的簡單區別:
- Sentry =
用戶身份認證+權限管理; - Zizaco/Entrust =
權限管理; - Zizaco/confide =
用戶身份認證;
用戶身份認證 和 權限管理 分開來做有什么好處呢?
分開的話可以更靈活, 有些項目因為特殊的業務邏輯, 無法使用 Confide 的 用戶身份認證, 但是卻需要用到 權限管理, 如: PHPHub .
Laravel-blog 就是一個簡單的應用, 使用了 Confide 做 用戶身份認證, Entrust 做 權限管理, 可以作為參考.
安裝
1. composer.json
"zizaco/entrust": "1.2.*@dev"2. install
composer update3. provider
修改 app/config/app.php 文件, 在 providers 數組里面添加:
'Zizaco\Entrust\EntrustServiceProvider',4. aliase
修改 app/config/app.php 文件, 在 aliases 數組里面添加:
'Entrust' => 'Zizaco\Entrust\EntrustFacade',5. 系統配置
Entrust 會利用 config/auth.php 里面的值, 去決定使用那個 Model 和 用戶表名.
6. 生成 Migration
php artisan entrust:migration會生成 <timestamp>_entrust_setup_tables.php Migration 文件, 檢查沒問題后:
php artisan migrate7. Models
創建 app/models/Role.php 文件, 內容為以下:
<?php use Zizaco\Entrust\EntrustRole; class Role extends EntrustRole { }創建 app/models/Permission.php 文件, 內容為以下:
<?php use Zizaco\Entrust\EntrustPermission; class Permission extends EntrustPermission { }修改 app/models/User.php 文件, 添加 HasRole trait:
<?php use Zizaco\Entrust\HasRole; class User extends Eloquent /* or ConfideUser 'wink' */{ use HasRole; // Add this trait to your user model ...最后, 生成自動加載:
composer dump-autoload基礎概念
三個主要數據對象, 以及他們之間的關系:
- User - 用戶, 一個用戶可以屬於多個用戶組, 不直接掛鈎權限, 讓用戶組和權限綁定;
- Roles - 用戶組, 一個用戶組可以擁有多個權限;
- Permission - 權限;
四個數據庫表說明:
安裝的第 6 步會產生一個 Migration, 此文件定義了 4 張數據庫表:
- roles - 用戶組信息表;
- assigned_roles - 用戶和用戶組之間的對應關系;
- permissions - 權限信息表;
- permission_role - 權限和用戶組之間的對應關系.
實例
接下來我們來創建用戶組和權限, 並授權用戶
創建用戶組
$admin = new Role; $admin->name = 'Admin'; $admin->save(); $owner = new Role; $owner->name = 'Owner'; $owner->save();創建權限
$manageUsers = new Permission; $manageUsers->name = 'manage_users'; $manageUsers->display_name = 'Manage Users'; $manageUsers->save(); $managePosts = new Permission; $managePosts->name = 'manage_posts'; $managePosts->display_name = 'Manage Posts'; $managePosts->save();添加用戶組權限
$owner->perms()->sync(array($managePosts->id, $manageUsers->id)); $admin->perms()->sync(array($managePosts->id));添加用戶到用戶組
// 獲取用戶 $user = User::where('username','=','Zizaco')->first(); // 可以使用 Entrust 提供的便捷方法用戶授權 // 注: 參數可以為 Role 對象, 數組, 或者 ID $user->attachRole( $admin ); // 或者使用 Eloquent 自帶的對象關系賦值 $user->roles()->attach( $admin->id ); // id only使用
基本權限判斷
判斷用戶是否屬於某個用戶組:
$user->hasRole("Owner"); // false $user->hasRole("Admin"); // true判斷用戶是否擁有某個權限 (通過用戶組):
$user->can("manage_posts"); // true $user->can("manage_users"); // false使用 ability 方法同時判斷多個權限和用戶組
$user->ability(['Admin','Owner'], ['manage_posts','manage_users']); // 或者 $user->ability('Admin,Owner', 'manage_posts,manage_users');路由過濾
Entrust 還提供幫助方法, 用來做路由過濾:
// 有 `manage_posts` 權限的用戶, 才能訪問 `admin/posts` 開頭的鏈接 Entrust::routeNeedsPermission( 'admin/post*', 'manage_posts' ); // 屬於 `Owner` 用戶組的人, 才能訪問 `admin/advanced*` 開頭的鏈接 Entrust::routeNeedsRole( 'admin/advanced*', 'Owner' ); // 可以在第二個選項傳參數組, 當前用戶需要符合所有傳參的用戶組或者權限, // 才能授權成功 Entrust::routeNeedsPermission( 'admin/post*', ['manage_posts','manage_comments'] ); Entrust::routeNeedsRole( 'admin/advanced*', ['Owner','Writer'] );