在我的 laravel 应用程序中,我有多个用户帐户,他们拥有分配给他们的资源。例如,说“付款”。要编辑或查看付款,用户将访问/payment/edit/{payment} 路由(其中payment 是付款ID)。
虽然我有一个身份验证过滤器来阻止未登录的用户访问此页面,但没有什么可以阻止,例如,用户 1 编辑用户 2 的付款。
是否有我可以使用的过滤器来检查付款(或任何其他资源)属于哪个用户以防止此类问题?
[我正在使用 Laravel 的模型绑定,它会自动获取路由指定的模型,而不是我使用 eloquent 在控制器中获取它。]
【问题讨论】:
默认情况下不存在这样的过滤器,但是您可以轻松创建一个(取决于您的数据库的设置方式)。在 app/filters.php 中,你可以这样做:
Route::filter('restrictPermission', function($route)
{
$payment_id = $route->parameter('payment');
if (!Auth::user()->payments()->find($payment_id)) return Redirect::to('/');
});
这会将当前登录用户的 payment_id(在您的数据库中)与传递给路由的 {payment} 参数进行比较。显然,根据您的数据库的设置方式(例如,如果 payment_id 在单独的表中),您需要更改条件。
然后,将过滤器应用于您的路线:
Route::get('/payment/edit/{payment}', array('before' => 'restrictPermission'));
【讨论】:
一种方法是在每个相关查询中放置一个 where 语句。虽然不是很漂亮,但它确实有效。
$payment = Payment::where('user_id', '=', Auth::user()->id)->find($id);
也可以使用seeARMS 建议的url 过滤器,但我认为它不是很优雅。嵌套此类逻辑的最合乎逻辑的地方是模型本身。一种可能性是使用model events,但这只会让您选择拦截更新、插入或删除语句,而不是选择。这在未来可能会改变。也许你可以使用boot() 事件,但我不确定这是否可行。
最后但同样重要的是,您可以使用query scopes。
class Payment extends Eloquent {
public function scopeAuthuser($query)
{
return $query->where('user_id', '=', Auth::user()->id);
}
}
并在查询中附加范围
Payment::authuser()->find($id);
您可以在基础模型上执行此操作并从它扩展,因此您在所有相关模型中都有该方法。
【讨论】:
考虑使用 Laravel 策略: https://laravel.com/docs/6.x/authorization#policy-methods
<?php
namespace App\Policies;
use App\Post;
use App\User;
class PostPolicy
{
/**
* Determine if the given post can be updated by the user.
*
* @param \App\User $user
* @param \App\Post $post
* @return bool
*/
public function update(User $user, Post $post)
{
return $user->id === $post->user_id;
}
}
通过策略,您可以控制给定记录是否可以被登录用户编辑。
干杯!
【讨论】: