### 說明 `Zizaco/Entrust` 是 Laravel 下 用戶權限系統 的解決方案, 配合 用戶身份認證 擴展包 `Zizaco/confide` 使用, 可以快速搭建出一套具備高擴展性的用戶系統. `Confide`, `Entrust`和 `Sentry` 項目地址 > [https://github.com/Zizaco/entrust](https://github.com/Zizaco/entrust) > #### 首先兩個概念分清楚: - 用戶身份認證 `Authentication` - 處理用戶登錄, 退出, 注冊, 找回密碼, 重置密碼, 用戶郵箱認證 etc.. - 權限管理 `Authorization` - 負責 用戶 與 權限, 用戶組 三者之間的對應, 以及管理. 下面是這幾個 Package 的簡單區別: - `Sentry` = 用戶身份認證 + 權限管理; - `Zizaco/Entrust` = 權限管理; - `Zizaco/confide` = 用戶身份認證; 用戶身份認證 和 權限管理 分開來做有什么好處呢? 分開的話可以更靈活, 有些項目因為特殊的業務邏輯, 無法使用 `Confide`的 用戶身份認證, 但是卻需要用到 權限管理, 如: `PHPHub`. Laravel-blog 就是一個簡單的應用, 使用了 `Confide` 做 用戶身份認證, `Entrust` 做 權限管理, 可以作為參考. ### 安裝 - composer.json ~~~ ~~~ "zizaco/entrust": "1.2.*@dev" ~~~ ~~~ - install ~~~ ~~~ composer update ~~~ ~~~ - provider 修改 `app/config/app.php` 文件, 在 `providers` 數組里面添加: ~~~ ~~~ 'Zizaco\Entrust\EntrustServiceProvider', ~~~ ~~~ - aliase 修改 app/config/app.php 文件, 在 aliases 數組里面添加: ~~~ ~~~ 'Entrust' => 'Zizaco\Entrust\EntrustFacade', ~~~ ~~~ - 系統配置 Entrust 會利用 config/auth.php 里面的值, 去決定使用那個 Model 和 用戶表名. - 生成 Migration ~~~ ~~~ php artisan entrust:migration ~~~ ~~~ 會生成 <timestamp>_entrust_setup_tables.php Migration 文件, 檢查沒問題后: ~~~ ~~~ php artisan migrate ~~~ ~~~ * Models 創建 app/models/Role.php 文件, 內容為以下: ~~~ ~~~ <?php use Zizaco\Entrust\EntrustRole; class Role extends EntrustRole { } ~~~ ~~~ 創建 app/models/Permission.php 文件, 內容為以下: ~~~ ~~~ <?php use Zizaco\Entrust\EntrustPermission; class Permission extends EntrustPermission { } ~~~ ~~~ 修改 app/models/User.php 文件, 添加 HasRole trait: ~~~ ~~~ <?php use Zizaco\Entrust\HasRole; class User extends Eloquent /* or ConfideUser 'wink' */{ use HasRole; // Add this trait to your user model ... ~~~ ~~~ 最后, 生成自動加載: ~~~ ~~~ composer dump-autoload ~~~ ~~~ ## 基礎概念 三個主要數據對象, 以及他們之間的關系: * User - 用戶, 一個用戶可以屬于多個用戶組, 不直接掛鉤權限, 讓用戶組和權限綁定; * Roles - 用戶組, 一個用戶組可以擁有多個權限; * Permission - 權限; 四個數據庫表說明: 安裝的第 6 步會產生一個 Migration, 此文件定義了 4 張數據庫表: * roles - 用戶組信息表; * assigned_roles - 用戶和用戶組之間的對應關系; * permissions - 權限信息表; * permission_role - 權限和用戶組之間的對應關系. ## 實例 接下來我們來創建用戶組和權限, 并授權用戶 創建用戶組 ~~~ ~~~ $admin = new Role; $admin->name = 'Admin'; $admin->save(); $owner = new Role; $owner->name = 'Owner'; $owner->save(); ~~~ ~~~ #### 創建權限 ~~~ ~~~ $manageUsers = new Permission; $manageUsers->name = 'manage_users'; $manageUsers->display_name = 'Manage Users'; $manageUsers->save(); $managePosts = new Permission; $managePosts->name = 'manage_posts'; $managePosts->display_name = 'Manage Posts'; $managePosts->save(); ~~~ ~~~ #### 添加用戶組權限 ~~~ ~~~ $owner->perms()->sync(array($managePosts->id, $manageUsers->id)); $admin->perms()->sync(array($managePosts->id)); ~~~ ~~~ #### 添加用戶到用戶組 ~~~ ~~~ // 獲取用戶 $user = User::where('username','=','Zizaco')->first(); // 可以使用 Entrust 提供的便捷方法用戶授權 // 注: 參數可以為 Role 對象, 數組, 或者 ID $user->attachRole( $admin ); // 或者使用 Eloquent 自帶的對象關系賦值 $user->roles()->attach( $admin->id ); // id only ~~~ ~~~ ## 使用 #### 基本權限判斷 判斷用戶是否屬于某個用戶組: ~~~ ~~~ $user->hasRole("Owner"); // false $user->hasRole("Admin"); // true ~~~ ~~~ 判斷用戶是否擁有某個權限 (通過用戶組): ~~~ ~~~ $user->can("manage_posts"); // true $user->can("manage_users"); // false ~~~ ~~~ 使用 ability 方法同時判斷多個權限和用戶組 ~~~ ~~~ $user->ability(['Admin','Owner'], ['manage_posts','manage_users']); // 或者 $user->ability('Admin,Owner', 'manage_posts,manage_users'); ~~~ ~~~ #### 路由過濾 Entrust 還提供幫助方法, 用來做路由過濾: ~~~ ~~~ // 有 `manage_posts` 權限的用戶, 才能訪問 `admin/posts` 開頭的鏈接 Entrust::routeNeedsPermission( 'admin/post*', 'manage_posts' ); // 屬于 `Owner` 用戶組的人, 才能訪問 `admin/advanced*` 開頭的鏈接 Entrust::routeNeedsRole( 'admin/advanced*', 'Owner' ); // 可以在第二個選項傳參數組, 當前用戶需要符合所有傳參的用戶組或者權限, // 才能授權成功 Entrust::routeNeedsPermission( 'admin/post*', ['manage_posts','manage_comments'] ); Entrust::routeNeedsRole( 'admin/advanced*', ['Owner','Writer'] ); ~~~ ~~~ ## 總結 一般我會在 `Migration` 里初始化基本的用戶組, 見 Laravel Blog 項目里面的 `Entrust Migration` . ## 參考 > PHPHub 和 Laravel-Blog 都使用 Entrust 進行用戶權限管理, 可以作為參考; * * * * * 原文地址：[https://phphub.org/index.php/topics/166](https://phphub.org/index.php/topics/166) ~~~ ~~~