在 Laravel 8 中使用中间件实现基于用户角色的访问控制

在现代 web 应用程序中，根据用户身份或角色限制其访问特定资源是常见的需求。laravel 框架提供了强大的中间件机制，使得实现这类功能变得直观且高效。本教程将指导您如何在 laravel 8 中，通过自定义中间件，为不同账户类型的用户（例如“个人用户”和“商业用户”）设置独立的访问权限，确保他们只能访问各自专属的仪表盘。

1. 理解用户账户类型与数据结构

在开始之前，确保您的用户表中包含一个字段来区分不同的账户类型。根据提供的问题内容，users 表中已有一个 account_type 字段，用于存储用户的账户类型，例如 'profile' 或 'business'。

Schema::create('users', function (Blueprint $table) {
    $table->id();
    $table->string('account_type'); // 关键字段
    // ... 其他用户字段
    $table->timestamps();
});

在用户注册时，RegisterController 负责收集用户选择的 account_type 并将其存储到数据库中。注册成功后，用户会被重定向到与其账户类型对应的仪表盘。

// RegisterController.php 部分代码
public function store(Request $request)
{
    // ... 验证逻辑
    User::create([
        'account_type' => $request->account_type,
        // ... 其他用户数据
    ]);

    Auth::attempt([
        'email' => $request->email,
        'password' => $request->password,
    ]);

    // 根据账户类型重定向
    if(Auth::user()->account_type == 'profile'){
        return redirect()->route('dashboard_profile');
    } else {
        return redirect()->route('dashboard_business');
    }
}

2. 创建自定义角色中间件

为了实现基于账户类型的访问控制，我们需要创建一个自定义中间件。这个中间件将检查当前登录用户的 account_type 是否与路由所要求的类型匹配。

使用 Artisan 命令创建中间件：

php artisan make:middleware CheckAccountType

这将在 app/Http/Middleware 目录下生成 CheckAccountType.php 文件。编辑该文件，修改 handle 方法：

account_type === $type) {
            return $next($request);
        }

        // 如果不满足条件，则中止请求并返回 403 错误
        abort(403, 'Unauthorized action. 您无权访问此页面。');
    }
}

注意事项：

• Auth::check() 确保用户已登录。虽然在应用此中间件的路由上通常会先应用 auth 中间件，但这里进行二次检查可以增加健壮性。
• $type 参数允许我们在定义路由时指定所需的账户类型。
• abort(403, 'Unauthorized action.') 会在用户无权访问时抛出 403 错误，您可以自定义错误页面来提供更好的用户体验。

3. 注册中间件

创建中间件后，需要将其注册到 app/Http/Kernel.php 文件的 $routeMiddleware 数组中，以便可以通过一个简短的键名在路由中使用它。

// app/Http/Kernel.php

protected $routeMiddleware = [
    // ... 其他中间件
    'auth' => \App\Http\Middleware\Authenticate::class,
    'accType' => \App\Http\Middleware\CheckAccountType::class, // 注册自定义中间件
];

这里我们将自定义中间件命名为 accType。

Kaiber

Kaiber是一个视频生成引擎，用户可以根据自己的图片或文字描述创建视频

下载

4. 应用中间件到路由或控制器

现在，您可以将 accType 中间件应用到需要保护的路由或控制器上。

方式一：在路由定义中应用

这是最直接且灵活的方式，可以直接在 routes/web.php 中为特定路由添加中间件。

// routes/web.php

use App\Http\Controllers\BusinessDashboardController;
use App\Http\Controllers\ProfileDashboardController;

// 保护商业仪表盘，只有 account_type 为 'business' 的用户才能访问
Route::get('/dashboard/business', [BusinessDashboardController::class, 'index'])
    ->middleware(['auth', 'accType:business'])
    ->name('dashboard_business');

// 保护个人仪表盘，只有 account_type 为 'profile' 的用户才能访问
Route::get('/dashboard/profile', [ProfileDashboardController::class, 'index'])
    ->middleware(['auth', 'accType:profile'])
    ->name('dashboard_profile');

// 示例：直接在闭包路由中使用
Route::get('/business-area', function () {
    return "欢迎来到商业专区！";
})->middleware(['auth', 'accType:business']);

Route::get('/profile-area', function () {
    return "欢迎来到个人专区！";
})->middleware(['auth', 'accType:profile']);

说明：

• ['auth', 'accType:business'] 表示首先会执行 auth 中间件（确保用户已登录），然后执行 accType 中间件，并传入 business 作为 $type 参数。
• 如果用户未登录，auth 中间件会将用户重定向到登录页面。
• 如果用户已登录但 account_type 不匹配，accType 中间件将抛出 403 错误。

方式二：在控制器构造函数中应用

如果您希望保护控制器中的所有方法，可以在控制器的构造函数中应用中间件。

// app/Http/Controllers/BusinessDashboardController.php

namespace App\Http\Controllers;

use Illuminate\Http\Request;

class BusinessDashboardController extends Controller
{
    public function __construct()
    {
        // 确保用户已登录，并且账户类型为 'business'
        $this->middleware(['auth', 'accType:business']);
    }

    public function index()
    {
        return view('auth.dashboard_business');
    }
}

// app/Http/Controllers/ProfileDashboardController.php

namespace App\Http\Controllers;

use Illuminate\Http\Request;

class ProfileDashboardController extends Controller
{
    public function __construct()
    {
        // 确保用户已登录，并且账户类型为 'profile'
        $this->middleware(['auth', 'accType:profile']);
    }

    public function index()
    {
        return view('auth.dashboard_profile');
    }
}

注意事项：

• 在控制器构造函数中应用中间件会影响该控制器中的所有方法。如果您只想保护特定方法，可以使用 only 或 except 选项。例如：$this->middleware('accType:business')->only('index');。
• 始终先应用 auth 中间件，确保用户是经过身份验证的，然后再检查其角色。

总结

通过上述步骤，您已经成功地在 Laravel 8 应用程序中实现了基于用户账户类型的访问控制。这种方法利用了 Laravel 强大的中间件功能，无需引入额外的第三方包，即可灵活地保护您的路由和控制器。自定义中间件的强大之处在于其可重用性和可配置性，您可以通过传入不同的参数来适应各种角色和权限检查场景。对于更复杂的权限管理需求，例如基于细粒度权限而非简单角色，可以考虑使用 Laravel 的 Gate 或 Policy，或者集成像 Spatie/laravel-permission 这样的专业权限管理包。