Как проверить права пользователя в Laravel?

Question

[Антон]

Здравствуйте! Есть заказы Orders и пользователи Users. User может просматривать только свои Orders, но если он админ(поле с булевым значением в таблице users - isAdmin), то может просматривать также и Orders других пользователей

Route::get('/{user}/orders', 'OrdersController@index')->name('orders.index');

В контроллере пытаюсь ограничить доступ, но что то делаю не так

if (auth()->id() != $user->id || !auth()->user()->isAdmin) {
    abort(403);
}

Если оставить только первую часть сравнения, то работает как ожидается, но только для обычного юзера который не может смотреть чужие заказы

if (auth()->id() != $user->id) {
    abort(403);
}

Буду очень благодарен за подсказку как сделать правильно - чтобы для админа были открыты все заказы, а для обычного пользователя только его собственные.

Comments

[JhaoDa]

А ты пытался написать политику? Выкладывай её код и код использования в контроллере, а не вот эти огрызки.

[Антон]

Я пока без политики, в контроллере пока проверяю. Какая разница - в Policy можно потом перенести. Что с проверками не так, вот в чём вопрос.

public function index(User $user)
    {
        if (auth()->id() != $user->id || !auth()->user()->isAdmin) {
            abort(403);
        }
    }

[JhaoDa]

Антон, во-первых, надо отвечать на комментарий, тогда приходят уведомления.

Во-вторых, в вопросе явно спрашивается — «как правильно написать Laravel Policy». Это подразумевает, что она есть, но написана и работает неправильно. Так что или вопрос переформулируй, или политику напиши.

[Антон]

JhaoDa, спасибо - переформулировал

Answer 1

[Vasyl Fomin]

Я для подобной задачи поступал следующим образом:
создавал scope (можно даже глобальный) который можно подключить в методе boot класса модели. Например:

//...
class Order extends Model
{
    protected static function boot()
    {
        parent::boot();
        static::addGlobalScope('owner', function (Builder $builder) {
                  $user = Auth::user();
                  if (! $user->isAdmin()) {
                        $builder->where('user_id', $user->id);
                  }
        });
    }
}

Теперь при каждом обращении к order-ам, будет проверятся условие является ли юзер админом, если нет то добавится к запросу условие $builder->where('user_id', $user->id) .
Не совсем хорошо использовать такую логику в моделях, но мне было удобно, и задачу решало,+ работает при обновлении, удалении, просмотре одного, просмотре списка и нечего дополнительно писать не надо.

Comments

[Антон]

Спасибо! Это вариант

[NubasLol]

Антон, Это не вариант, а говно код

[Антон]

NubasLol, ваш комментарий стремится к такой же оценке если не подкрепить его аргументами в пользу правильного решения. Ну и предложить что то неплохо бы

[NubasLol]

Антон, Использовать политики

Код плохой, потому что не очивидный. И если кроме вас, ваш код будет читать другой человек, он не сможет сразу понять, как работает ваша логика.

И этот скоп будет идти со всеми запросами, если в будущем понадобится разделить логику при обновлении, удалении?

[Антон]

NubasLol, я и хотел сделать через политику, но не нашёл решения как. Может подскажете как можно подобную логику перенести в политику - работает она как раз так как нужно

[Alex Wells]

Антон, что не нашли? Документацию по политикам? Скинуть ссылку, или сами найдете?

[Антон]

Alex Wells, причём тут документация? Вы вопрос читали?! Не знаете как помочь пройдите мимо!

[Alex Wells]

Антон, "не нашел решения как" - и вы спрашиваете, при чем тут документация? При том, что она - главный источник информации. Какое "решение" кроме как документация вы ожидали?

Я читал вопрос. Этот вариант - говнокод. Он НЕ поддерживаемый, он НЕ очевидный для разработчика, который будет это поддерживать, он НЕ тестируется, он нарушает SOLID. Этот вариант НЕ СТОИТ использовать.

Вам уже помогли. Дважды. Один раз сказали про роли-пермишены - вы проигнорили. Второй - про политики, на что вы ответили тупой отмазкой "не нашел решения". Мне стоит продублировать их ответы?

Answer 2

[jazzus]

Вам нужно гуглить схему роли-пермишены. Админ-не админ можно определить как

$user = Auth::user();

if ($user->isAdmin) {
    // code...
}else{
    // code...
}
// не админ
if (!$user->isAdmin) {
    // code...
}

В роуте
'/{user}/orders'
Вероятно нужен user_id вместо user
А значит искать юзера, как
$user=User::find($user_id);
Заказы привязываются к юзеру через hasMany отношение и запрашиваются
$orders = $user->orders;

Comments

[Антон]

jazzus, спасибо! Но вопрос не о технической стороне вопроса - можно разными путями это сделать, а о том как логически построить проверку чтобы админ мог просматривать заказы любых пользователей, а обычные юзеры только свои заказы

[jazzus]

Антон, вам нужно создать модели Role и Perm. Связать Role и Perm ManyToMany отношениями. При регистрации/модерации/событии назначаете юзеру роль и он приобретает права, которые прописываются в шаблонах c помощью директивы can, в роутах - Middleware, в контроллерах gate. Гуглите gate, roles и AuthServiceProvider. В одну строчку вам решение никто не даст.

[jazzus]

Антон, в принципе можно и заговнокодиться. Рефакторинг еще никто не отменял и пользу его не опровергал. Поэтому

$user = Auth::user();
if ($user->isAdmin) {
    $orders = Order::get();
}else{
   $orders = $user->orders;
}

[Антон]

jazzus, юзер не должен иметь доступа к чужим заказам. Если только он не админ. Вот в чём вопрос?

[jazzus]

Антон, как вы определили, что юзер имеет доступ к чужим заказам?

[jazzus]

Антон, вы понимаете, что здесь происходит?
$orders = $user->orders;
Ответ – нет.
Гуглите hasMany отношения.

[Антон]

jazzus, меняем параметр user в url и получаем любого юзера

[jazzus]

Антон, я уже давно вам пишу Auth::user();

[jazzus]

Антон,

//$id из раута
$user = User::find($id);
if ($user->isAdmin) {
  // см ответы выше
}

[Антон]

jazzus, спасибо за помощь, хороший пример