Laravel 8 基于中间件实现用户角色访问控制

本文详细讲解如何在 laravel 8 中利用自定义中间件实现基于用户账户类型的访问控制。通过创建并配置中间件，可以有效限制不同类型用户（如“profile”和“business”）只能访问其专属仪表盘，从而提升应用安全性与用户体验，避免未经授权的跨角色访问，且无需使用额外第三方包。

引言

在构建现代 Web 应用程序时，用户权限管理是不可或缺的一部分。特别是在用户拥有不同角色或账户类型时，如何确保他们只能访问其被授权的资源和功能变得尤为重要。Laravel 框架通过其强大的中间件（Middleware）机制，为实现这类访问控制提供了优雅且高效的解决方案。本文将以 Laravel 8 为例，详细介绍如何不依赖第三方包，通过自定义中间件实现基于用户账户类型的仪表盘访问控制。

问题背景与需求分析

假设一个应用场景：用户在注册时可以选择两种账户类型——“个人档案（profile）”或“商家（business）”。注册成功后，系统会根据账户类型将用户重定向到对应的仪表盘。然而，我们面临的核心挑战是，如何防止一个“个人档案”用户尝试访问“商家”仪表盘，反之亦然，从而保护这些特定页面的安全。

为了实现这一目标，我们需要在用户访问特定仪表盘路由之前，检查其当前的账户类型是否与该仪表盘所需类型匹配。

首先，我们来看一下用户表的结构和注册逻辑：

用户表结构 (2014_10_12_000000_create_users_table.php)

Schema::create('users', function (Blueprint $table) {    $table->id();    $table->string('account_type'); // 关键字段：存储用户账户类型    $table->string('first_name');    $table->string('last_name');    $table->string('username')->unique();    $table->string('email')->unique();    $table->timestamp('email_verified_at')->nullable();    $table->string('phone');    $table->string('address', 50);    $table->string('city', 25);    $table->char('state', 2);    $table->char('zip', 10);    $table->string('password');    $table->rememberToken();    $table->timestamps();});

登录后复制

account_type 字段是实现角色区分的关键。

注册控制器 (RegisterController.php)

<?phpnamespace App\Http\Controllers\Auth;use App\Models\User;use Illuminate\Http\Request;use App\Http\Controllers\Controller;use Illuminate\Support\Facades\Auth;use Illuminate\Support\Facades\Hash;class RegisterController extends Controller{    public function index()    {        return view('auth.register');    }    public function store(Request $request)    {        // 验证逻辑...        $this->validate($request, [            'account_type' => 'required|not_in:0',            // ...其他验证规则        ]);        // 创建用户        User::create([            'account_type' => $request->account_type, // 存储账户类型            // ...其他用户数据            'password' => Hash::make($request->password),        ]);        // 尝试登录用户        Auth::attempt([            'email' => $request->email,            'password' => $request->password,        ]);        // 根据账户类型重定向到对应仪表盘        if(Auth::user()->account_type == 'profile'){            return redirect()->route('dashboard_profile');        } else {            return redirect()->route('dashboard_business');        }    }}

登录后复制

RegisterController 确保了用户注册时 account_type 字段被正确设置，并提供了初次登录后的重定向。然而，这并不能阻止用户在登录后手动输入其他仪表盘的 URL。

创建自定义中间件

为了解决上述问题，我们将创建一个自定义中间件，专门用于检查当前登录用户的 account_type 是否符合预期。

生成中间件文件

使用 Artisan 命令生成一个新的中间件：

php artisan make:middleware AccountTypeMiddleware

登录后复制

这将在 app/Http/Middleware 目录下创建一个 AccountTypeMiddleware.php 文件。

编写中间件逻辑

打开 app/Http/Middleware/AccountTypeMiddleware.php 文件，并修改其 handle 方法：

AI角色脑洞生成器

一键打造完整角色设定，轻松创造专属小说漫画游戏角色背景故事

107 查看详情

<?phpnamespace App\Http\Middleware;use Closure;use Illuminate\Http\Request;use Illuminate\Support\Facades\Auth; // 引入 Auth Facadeclass AccountTypeMiddleware{        public function handle(Request $request, Closure $next, $type)    {        // 确保用户已登录且其账户类型与期望类型匹配        if (Auth::check() && Auth::user()->account_type === $type) {            return $next($request); // 允许请求继续        }        // 如果不满足条件，则终止请求并返回 403 未授权响应        abort(403, 'Unauthorized action.');    }}

Auth::check()：检查用户是否已登录。如果未登录，则 Auth::user() 将返回 null。Auth::user()->account_type === $type：获取当前登录用户的 account_type，并与中间件参数 $type 进行严格比较。$next($request)：如果用户符合要求，允许请求继续执行。abort(403, 'Unauthorized action.')：如果用户不符合要求，则抛出 HttpException，返回 403 状态码（未授权），并显示自定义消息。

注册与配置中间件

为了让 Laravel 识别并使用我们自定义的中间件，我们需要在 app/Http/Kernel.php 文件中进行注册。

打开 app/Http/Kernel.php，找到 $routeMiddleware 属性，并添加我们的中间件：

<?phpnamespace App\Http;use Illuminate\Foundation\Http\Kernel as HttpKernel;class Kernel extends HttpKernel{    // ... 其他属性        protected $routeMiddleware = [        'auth' => \App\Http\Middleware\Authenticate::class,        'auth.basic' => \Illuminate\Auth\Middleware\AuthenticateWithBasicAuth::class,        'bindings' => \Illuminate\Routing\Middleware\SubstituteBindings::class,        'cache.headers' => \Illuminate\Http\Middleware\SetCacheHeaders::class,        'can' => \Illuminate\Auth\Middleware\Authorize::class,        'guest' => \App\Http\Middleware\RedirectIfAuthenticated::class,        'signed' => \Illuminate\Routing\Middleware\ValidateSignature::class,        'throttle' => \Illuminate\Routing\Middleware\ThrottleRequests::class,        'verified' => \Illuminate\Auth\Middleware\EnsureEmailIsVerified::class,        'accType' => \App\Http\Middleware\AccountTypeMiddleware::class, // 注册自定义中间件    ];    // ... 其他方法}

登录后复制

这里我们将 AccountTypeMiddleware 注册为 accType 别名。这样，我们就可以在路由定义中使用 accType 来引用这个中间件。

在路由中应用中间件

现在，我们可以在路由定义中应用这个 accType 中间件来保护我们的仪表盘页面。

打开 routes/web.php 文件，并修改或添加你的仪表盘路由：

<?phpuse Illuminate\Support\Facades\Route;use App\Http\Controllers\BusinessDashboardController;use App\Http\Controllers\ProfileDashboardController;// ... 其他路由// 商家仪表盘路由Route::get('/business-dashboard', [BusinessDashboardController::class, 'index'])    ->name('dashboard_business')    ->middleware(['auth', 'accType:business']); // 应用 auth 和 accType 中间件// 个人档案仪表盘路由Route::get('/profile-dashboard', [ProfileDashboardController::class, 'index'])    ->name('dashboard_profile')    ->middleware(['auth', 'accType:profile']); // 应用 auth 和 accType 中间件// 示例：直接在路由闭包中使用中间件// Route::get('/business-profile', ['middleware' => 'accType:business', function () {//     return view('auth.dashboard_business');// }]);// Route::get('/profile', ['middleware' => 'accType:profile', function () {//     return view('auth.dashboard_profile');// }]);

->middleware(['auth', 'accType:business'])：auth 中间件确保只有已登录用户才能访问这些路由。accType:business 应用我们自定义的中间件，并将其参数设置为 business。这意味着只有 account_type 为 business 的用户才能通过此中间件。对于 profile 仪表盘，我们将 accType 中间件的参数设置为 profile。

通过这种方式，当一个请求到达 /business-dashboard 路由时，Laravel 会首先通过 auth 中间件检查用户是否登录。如果已登录，接着会通过 accType 中间件检查该用户的 account_type 是否为 business。只有两个条件都满足，请求才能继续执行到 BusinessDashboardController 的 index 方法。否则，将返回 403 错误。

注意事项与最佳实践

错误页面定制：当 abort(403) 被触发时，Laravel 默认会显示一个简单的 403 错误页面。为了提供更好的用户体验，你可以定制这个错误页面。在 resources/views/errors/403.blade.php 创建一个视图文件，Laravel 会自动使用它。

用户重定向：有时，你可能不希望直接抛出 403 错误，而是将用户重定向到其他页面（例如，一个显示“权限不足”消息的页面，或者用户的正确仪表盘）。你可以在中间件中将 abort(403) 替换为 return redirect()->route('unauthorized_page') 或 return redirect()->route('dashboard_profile')（如果用户是 profile 类型但尝试访问 business 仪表盘）。

中间件顺序：auth 中间件应该在 accType 中间件之前执行。因为 accType 中间件需要 Auth::user() 来获取用户信息，如果用户未登录，Auth::user() 将返回 null，可能导致错误。Laravel 会按照数组中定义的顺序执行中间件。

控制器构造函数中的中间件：虽然可以在控制器构造函数中应用中间件，但对于这种需要动态参数的场景（accType:business），直接在路由定义中应用更为灵活和推荐。原始的 BusinessDashboardController 和 ProfileDashboardController 中已经有 __construct() 中应用 auth 中间件，这与路由中的 auth 是重复的，但无害。如果路由中已定义，控制器中可以省略。

// BusinessDashboardController.phpclass BusinessDashboardController extends Controller{    public function __construct()    {        // 如果路由中已定义 'auth' 和 'accType:business'，        // 这里的 'auth' 可以省略，或者根据需要保留。        // $this->middleware('auth');    }    public function index()    {        return view('auth.dashboard_business');    }}

登录后复制

总结

通过以上步骤，我们成功地在 Laravel 8 中使用自定义中间件实现了基于用户账户类型的访问控制。这种方法不仅功能强大、灵活，而且完全基于 Laravel 自身机制，无需引入额外的第三方包，保持了项目的轻量级。它确保了不同角色用户只能访问其被授权的资源，极大地增强了应用程序的安全性与健壮性。在实际开发中，可以根据业务需求进一步扩展这种中间件，以支持更复杂的权限管理逻辑。

以上就是Laravel 8 基于中间件实现用户角色访问控制的详细内容，更多请关注php中文网其它相关文章！