首先创建自定义中间件CheckRole,通过Auth::user()获取用户角色并验证权限;接着在Kernel.php中注册中间件;然后在路由中使用middleware方法分配角色访问权限;最后确保用户表包含role字段以支持角色判断,实现基础RBAC控制。
在 Laravel 中,通过中间件实现基于角色的访问控制(RBAC)是一种常见且高效的方式。核心思路是创建自定义中间件,在请求到达控制器之前检查当前用户的角色,从而决定是否允许访问特定路由。
创建角色中间件
使用 Artisan 命令生成中间件:
php artisan make:middleware CheckRole生成后,在 app/Http/Middleware/CheckRole.php 中编写逻辑:
role, $roles)) {
abort(403, '无权访问');
}
return $next($request);
}
}
这个中间件接收多个角色作为参数,检查当前用户是否具备其中之一。
注册中间件
将中间件注册到 app/Http/Kernel.php 的 $routeMiddleware 数组中:
在路由中使用中间件
注册完成后,可以在路由中使用该中间件限制访问权限:
Route::get('/admin', function () {
return view('admin.dashboard');
})->middleware('auth', 'role:admin');
Route::get('/editor', function () {
return view('editor.dashboard');
})->middleware('auth', 'role:admin,editor');
第一个路由只允许 admin 角色访问,第二个路由允许 admin 或 editor 访问。
数据库与用户模型设计
确保用户表中有一个 role 字段(如字符串类型),用于存储角色名称。例如:
admineditoruser
登录后,Laravel 会自动通过 Auth::user() 获取用户实例,中间件即可读取其角色进行判断。
基本上就这些。通过这种方式,你可以灵活地为不同路由设置角色门槛,实现基础的 RBAC 控制。如果系统复杂度上升,可结合数据库驱动的角色权限表进一步扩展。
