我的项目使用 laravel 5.6 并委托处理用户/角色/权限。
但现在我面临另一个问题,我不知道该走哪条路。
基本上在我的数据库中,我有一个包含 x 列的“常规”表。每列代表我的应用程序的一部分,所以只有一行。
例如,我可以有一个包含 0、1 或 2 的“编辑帖子”列。
如何防止用户根据数据库值访问get/post路由?
如果edit-post等于2,用户可以查看编辑页面/发布编辑数据。
我必须使用中间件吗?盖茨?还有什么?
感谢您的回答。
【问题讨论】:
您可以根据用户角色定义用户的权限和活动。像 Admin 、 Moderator 或 Super admin 。只需创建一个表,其中包含具有用户关系的角色名称并将身份验证与它挂钩。因此,每次用户登录时,他都可以前往他的特定区域并执行您定义的活动。 You can see this for better understanding
【讨论】:
正如Raggib所说:创建users表权限:
Schema::create('users', function (Blueprint $table) {
$table->increments('id');
$table->string('role');
});
创建一个中间件以检查用户是否有权访问您要保护的记录:
if($loggedUser->role != 'admin'){
// cannot edit
}
这种方法的好处是以后可以添加角色。这将使您能够更好地控制谁可以访问哪些记录。
【讨论】:
edit_post = 1 执行此操作,那么您只需要创建一个中间件并将此中间件应用于您需要检查的路由,甚至在对帖子执行操作之前检查edit_post
<input type="hidden" name="post_id" value="{{ $post->id }}"> 之类的东西,在中间件中,您将获得该模型来检查登录用户是否可以执行该操作