Laravel 8 权限控制：使用自定义中间件实现基于用户角色的访问管理

本教程详细介绍了如何在 Laravel 8 中不依赖第三方包，通过自定义中间件实现基于用户角色的访问控制。我们将利用用户注册时设置的 `account_type` 字段，创建并配置中间件来保护特定路由，确保只有具备相应角色的用户才能访问对应的仪表板，从而有效管理不同类型用户的权限。

引言：理解基于角色的访问控制 (RBAC)

在现代 Web 应用中，为不同类型的用户提供差异化的功能和数据访问是常见的需求。例如，一个平台可能同时拥有普通用户（Profile）和商家用户（Business），他们各自需要访问专属的仪表板和功能区域。基于角色的访问控制 (Role-Based Access Control, RBAC) 是一种有效的权限管理策略，它通过将权限与用户角色关联起来，简化了权限管理过程。

在 Laravel 中，中间件（Middleware）是实现这种访问控制的强大工具。它允许我们在请求到达路由或控制器之前，对请求进行过滤或处理。本教程将指导您如何利用 Laravel 的中间件机制，结合用户注册时设置的 account_type 字段，构建一个灵活且安全的基于角色的访问控制系统。

准备工作：用户账户类型设置

为了实现基于角色的访问控制，首先需要确保您的用户表中包含一个字段来标识用户的角色或账户类型。根据您提供的 create_users_table.php 迁移文件，account_type 字段已经存在：

Schema::create('users', function (Blueprint $table) {
    $table->id();
    $table->string('account_type'); // 用于存储用户账户类型，如 'profile' 或 'business'
    $table->string('first_name');
    $table->string('last_name');
    $table->string('username')->unique();
    $table->string('email')->unique();
    $table->timestamp('email_verified_at')->nullable();
    $table->string('phone');
    $table->string('address', 50);
    $table->string('city', 25);
    $table->char('state', 2);
    $table->char('zip', 10);
    $table->string('password');
    $table->rememberToken();
    $table->timestamps();
});

在用户注册时，RegisterController 会根据用户的选择将 account_type 字段存储到数据库中。这是后续中间件进行权限判断的基础。

// RegisterController.php 中的 store 方法片段
public function store(Request $request)
{
    // ... 验证逻辑

    User::create([
        'account_type' => $request->account_type, // 注册时设置 account_type
        // ... 其他字段
    ]);

    Auth::attempt([
        'email' => $request->email,
        'password' => $request->password,
    ]);

    // 根据 account_type 重定向到不同仪表板
    if(Auth::user()->account_type == 'profile'){
        return redirect()->route('dashboard_profile');
    } else {
        return redirect()->route('dashboard_business');
    }
}

核心机制：Laravel 中间件

Laravel 中间件充当 HTTP 请求的“守卫”。每个请求在到达您的应用程序核心逻辑（控制器或路由闭包）之前，都会经过一系列中间件。通过自定义中间件，我们可以在请求生命周期的特定阶段插入自定义逻辑，例如检查用户认证状态、验证权限、记录日志等。

创建自定义角色中间件

我们将创建一个名为 CheckAccountType 的中间件，它将负责检查当前登录用户的 account_type 是否与访问特定路由所需的类型匹配。

1. 生成中间件文件： 使用 Artisan 命令生成一个新的中间件：

   php artisan make:middleware CheckAccountType

   登录后复制

   这将在 app/Http/Middleware 目录下创建一个 CheckAccountType.php 文件。

2. 实现 handle 方法： 打开 app/Http/Middleware/CheckAccountType.php 文件，并修改其 handle 方法如下：

   <?php
   
   namespace App\Http\Middleware;
   
   use Closure;
   use Illuminate\Http\Request;
   use Illuminate\Support\Facades\Auth;
   
   class CheckAccountType
   {
       /**
        * 处理传入的请求。
        *
        * @param  \Illuminate\Http\Request  $request
        * @param  \Closure(\Illuminate\Http\Request): (\Illuminate\Http\Response|\Illuminate\Http\RedirectResponse)  $next
        * @param  string  $type  期望的用户账户类型（例如 'profile' 或 'business'）
        * @return \Illuminate\Http\Response|\Illuminate\Http\RedirectResponse
        */
       public function handle(Request $request, Closure $next, $type)
       {
           // 1. 检查用户是否已认证
           // 2. 检查已认证用户的 account_type 是否与期望的 $type 匹配
           if (Auth::check() && Auth::user()->account_type === $type) {
               // 如果用户已认证且账户类型匹配，则允许请求继续
               return $next($request);
           }
   
           // 如果用户未认证或账户类型不匹配，则终止请求并返回 403 错误
           abort(403, 'Unauthorized action. 您无权访问此页面。');
       }
   }

   登录后复制

   代码解释：

   • Auth::check(): 检查当前用户是否已登录。虽然路由通常会先经过 auth 中间件，但在这里再次检查可以增加健壮性。
   • Auth::user()->account_type === $type: 这是核心逻辑。它获取当前登录用户的 account_type 属性，并与通过中间件参数 $type 传入的期望类型进行严格比较。
   • return $next($request): 如果权限验证通过，请求会继续向下传递到下一个中间件或最终的路由/控制器。
   • abort(403, 'Unauthorized action.'): 如果权限验证失败，应用程序将立即终止并返回一个 HTTP 403 Forbidden 响应。您可以自定义错误消息。

注册中间件

为了能够在路由中使用 CheckAccountType 中间件，您需要将其注册到 app/Http/Kernel.php 文件中，通常作为路由中间件别名。

打开 app/Http/Kernel.php 文件，在 $routeMiddleware 数组中添加您的中间件：

<?php

namespace App\Http;

use Illuminate\Foundation\Http\Kernel as HttpKernel;

class Kernel extends HttpKernel
{
    // ... 其他属性

    /**
     * The application's route middleware aliases.
     *
     * These middleware may be assigned to groups or used individually.
     *
     * @var array
     */
    protected $routeMiddleware = [
        'auth' => \App\Http\Middleware\Authenticate::class,
        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,
        'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,
        'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,
        'can' => \Illuminate\Auth\Middleware\Authorize::class,
        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,
        'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,
        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,
        'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,
        'accType' => \App\Http\Middleware\CheckAccountType::class, // 注册自定义中间件
    ];

    // ... 其他方法
}

现在，您可以通过别名 accType 在路由中引用 CheckAccountType 中间件。

硅基智能

基于Web3.0的元宇宙，去中心化的互联网，高质量、沉浸式元宇宙直播平台，用数字化重新定义直播

62

查看详情

应用中间件到路由

最后一步是将这个自定义中间件应用到需要保护的路由上。我们将为 Profile 仪表板和 Business 仪表板分别应用对应的中间件。

打开 routes/web.php 文件，并修改或添加您的路由定义：

<?php

use Illuminate\Support\Facades\Route;
use App\Http\Controllers\ProfileDashboardController;
use App\Http\Controllers\BusinessDashboardController;
use App\Http\Controllers\Auth\RegisterController; // 假设您有注册控制器

/*
|--------------------------------------------------------------------------
| Web Routes
|--------------------------------------------------------------------------
|
| Here is where you can register web routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| contains the "web" middleware group. Now create something great!
|
*/

// 示例：注册路由
Route::get('/register', [RegisterController::class, 'index'])->name('register');
Route::post('/register', [RegisterController::class, 'store']);

// 业务用户仪表板路由，需要 'auth' 认证和 'business' 账户类型
Route::middleware(['auth', 'accType:business'])->group(function () {
    Route::get('/business-dashboard', [BusinessDashboardController::class, 'index'])->name('dashboard_business');
});

// 个人用户仪表板路由，需要 'auth' 认证和 'profile' 账户类型
Route::middleware(['auth', 'accType:profile'])->group(function () {
    Route::get('/profile-dashboard', [ProfileDashboardController::class, 'index'])->name('dashboard_profile');
});

// 示例：其他公共路由
Route::get('/', function () {
    return view('welcome');
});

// 示例：登录/登出等认证路由 (通常由 Laravel Breeze/Jetstream/UI 提供)
// Auth::routes();

代码解释：

• Route::middleware(['auth', 'accType:business']): 这表示访问 /business-dashboard 路由的请求必须首先通过 auth 中间件（确保用户已登录），然后通过 accType 中间件，并传递参数 business。accType 中间件会检查当前登录用户的 account_type 是否为 business。
• Route::middleware(['auth', 'accType:profile']): 同理，此路由要求用户已登录且 account_type 为 profile。

通过这种方式，只有登录的业务用户才能访问 BusinessDashboardController 的 index 方法，而只有登录的个人用户才能访问 ProfileDashboardController 的 index 方法。任何不满足条件的用户尝试访问这些页面，都将收到 403 Forbidden 错误。

注意事项与最佳实践

1. 错误页面定制： 当 abort(403) 被触发时，Laravel 会显示默认的 403 错误页面。为了提供更好的用户体验，您可以自定义这个页面。在 resources/views/errors/ 目录下创建 403.blade.php 文件即可。

2. 中间件顺序： 在 Route::middleware() 数组中，中间件的顺序很重要。通常，auth 中间件应放在 accType 中间件之前，以确保在检查用户角色之前用户已经登录。

3. 可扩展性： 这种基于中间件和 account_type 字段的权限控制方法非常灵活。如果您需要添加更多角色（例如 'admin'），只需在 CheckAccountType 中间件中处理，并在路由中传递相应的参数即可。

4. 控制器构造函数中的应用： 虽然上述示例是在路由级别应用中间件，您也可以在控制器构造函数中应用：

   class BusinessDashboardController extends Controller
   {
       public function __construct()
       {
           $this->middleware('auth'); // 确保用户已登录
           $this->middleware('accType:business'); // 确保用户是业务类型
       }
   
       public function index()
       {        
           return view('auth.dashboard_business');
       }
   }

   登录后复制

   这种方式适用于控制器中的所有方法都需要相同权限的情况。如果控制器中的不同方法需要不同权限，则路由级别的中间件更合适。

5. 安全性： 始终确保 account_type 字段在用户注册和更新时的完整性。避免用户可以随意修改自己的 account_type。

总结

通过本教程，您已经学会了如何在 Laravel 8 中不依赖任何第三方包，利用自定义中间件实现一套基础而有效的基于用户角色的访问控制系统。这种方法利用了 Laravel 强大的中间件机制，结合用户数据中的角色标识，能够清晰、安全地管理不同用户类型的访问权限。这不仅提高了应用程序的安全性，也使得权限管理逻辑更加模块化和易于维护。

以上就是Laravel 8 权限控制：使用自定义中间件实现基于用户角色的访问管理的详细内容，更多请关注php中文网其它相关文章！