我正在尝试授权用户角色删除/更新帖子。我使用策略来执行此操作,但我只能将一个参数传递给策略函数。如果我传递的变量多于用户和另一个变量,则该变量不会传递到函数中。
模型:用户有很多个角色,一个角色可以发布多个帖子。因此,出于授权目的,我必须将帖子的character_id与当前角色的id进行比较…-
根据文档,您可以将更多倍数传递到Gate Facade:
Gate::define('delete-comment', function ($user, $post, $comment) {
//
});
但我无论如何都找不到这样的政策。我所要做的是注入Request对象以获得授权所需的对象。基本上我甚至不需要用户对象。
public function update(User $user, Post $post)
{
return $user->id === $post->user_id;
}
使用Request对象是可行的,但感觉很粗糙。有更好的方法来实现这一点吗?
编辑:
在CharacterLocationController中,我有一个方法show,我想在显示资源之前授权该操作。
public function show(Request $request, Character $character, Location $location)
{
$this->authorize([$location, $character]);
...
}
策略注册如下:'App'Location' => 'App'Policies'LocationPolicy'在AuthServiceProvider 中
我转储了传递给策略函数的数组,它只输出$location。
public function show(User $user, $data) {
dd($data); // expecting location and character
return !$location->private || $location->authorized->contains($this->character);
}
我认为这里可能对什么函数在做什么感到困惑。
当你使用
Gate::define('delete-comment', function ($user, $post, $comment) {
//
});
或在CommentPolicy 中
public function delete(User $user, Post $post, Comment $comment)
{
return $user->id === $post->user_id;
}
你所做的就是定义规则。在这一点上,我们不担心传递任何东西,只担心我们收到的对象能够或应该能够相互交互。这两者之间的唯一区别是,在使用策略时,这只是一种将所有规则抽象为一个简单易读的类的简单方法。如果你有一个可能有数百个表格和模型的应用程序,如果你的应用程序中到处都是这些规则,那么它会很快变得混乱,因此策略将有助于保持它们的有序性。
这是当你真正检查某人是否有权在你应该传递这些项目的时候做某事。例如,当您执行以下操作时,
if (Gate::allows('delete-comment', [$post, $comment])) {
//
}
或者如果在CommentController 中
$this->authorize('delete', [$post, $comment]);
这就是控制将哪些参数传递给策略或Gate::define方法的原因。根据文档,已经为您添加了$user参数,因此在这种情况下,您只需要担心传递正在修改的正确$post和$comment。