Как разграничить доступу в laravel?

Question

[DocTypeMaster]

Здравствуйте, есть Сайтик на ларавел и есть база юзеров в полях которого есть «status» и он может быть либо юзер либо админ. К слову говоря у Меня стоит пакет breeze.

И есть странички и в целом отдельный лаяут админа (админ панель), но зайти на неё могут все, я делал такую штуку что в файле с роутами проВерял статус и выводил для конкретного роута этот ретерн, но так делать не удобно ибо придётся для всех Роутов отдельно да и оно не убирает доступ а лишь скрывает вьюшку, подскажите как делать те вы и как правильно ?

Comments

[Barmunk]

https://laravel.com/docs/8.x/middleware
Используй middleware, в нем проверяй статус поля
Подключи его к группе роутов или в construct нужного контроллера

Answer 1

[jazzus]

Авторизацию правильно проверять через правила авторизации

Создаем новый файл роутов routes/admin/web.php. Копируем туда все админские роуты.

Прописываем в методе boot AuthServiceProvider правило

Gate::define('view-admin', function (User $user) {
    return $user->is_admin;
});

Подключаем в методе boot RouteServiceProvider админские роуты с ограничением доступа

Route::middleware(['web', 'can:view-admin'])
    ->namespace($this->namespace)
    ->group(base_path('routes/admin/web.php'));

Теперь перед каждым запросом админского роута будет выполняться проверка. Это же правило будет работать и в шаблонах, чтобы например скрыть кнопку.

@can('view-admin')
  кнопка
@endcan

или в логике

if ($user->can('view-admin')) {
    // code
}

что невозможно сделать без говнокода, если использовать только мидлвари, как предлагают.

Comments

[DocTypeMaster]

Прописываем в методе boot AuthServiceProvider правило
Gate::define('view-admin', function (User $user) {
return $user->is_admin;
});

Это сюда ?

public function boot()
    {
        $this->registerPolicies();

        //
    }

[jazzus]

DocTypeMaster, да. Проверку на админа нужно делать в этом правиле. Непонятное поле status лучше заменить на is_admin или вообще проверять по id.

[DocTypeMaster]

И роуты нужно переделывать на Gate ?
И где делать проверку*?

[jazzus]

DocTypeMaster, я же написал - В ПРАВИЛЕ $user->is_admin. Роуты не нужно переделывать. Нужно сделать ровно то что я написал. Можно с копипастой. Админские роуты можно и не выносить из веб, но тогда придется оборачивать простыню в группу, поэтому лучше вынести в новый файл.

[DocTypeMaster]

jazzus, когда я делаю копипастом вот какую ошибку выдает

Argument 1 passed to App\Providers\AuthServiceProvider::App\Providers\{closure}() must be an instance of App\Providers\User, instance of App\Models\User given, called in D:\Server\OpenServer\domains\lesons-app\vendor\laravel\framework\src\Illuminate\Auth\Access\Gate.php on line 474

вот какую проверку я делаю

Gate::define('view-admin', function (User $user) {
      if(Auth::user()->status == 'admin') {
            return $user->is_admin;
      }
    });

[DocTypeMaster]

а когда меняю view-admin на admin-panel то пишет THIS ACTION IS UNAUTHORIZED.

[jazzus]

DocTypeMaster, с учетом что копипасту разработчик делает. Импортируй модель User в провайдер.

когда меняю view-admin на admin-panel

какой еще admin-panel?

[jazzus]

В правилах прописываются действия, к которым проверяется доступ юзера. "Юзер может админ панель" это плохой вариант.

[DocTypeMaster]

jazzus, Все равно выдает 403ю ошибку

Вот 3 файла

web.php

<?php

use Illuminate\Support\Facades\Route;
use Illuminate\Support\Facades\Auth;
use App\Http\Controllers\AdminViewOrders;
// Use Local


/*
|--------------------------------------------------------------------------
| Web Routes
|--------------------------------------------------------------------------
|
| Here is where you can register web routes for your application. These
| routes are loaded by the RouteServiceProvider within a group which
| contains the "web" middleware group. Now create something great!
|
*/


// ------------------------------------------------- Route admin ------------------------------------------------------------------
/*Route::get('/admin-panel', function () {
  if (Auth::user()->status == 'admin') {
    return view('admin-page');
    }
})->middleware(['auth'])->name('admin-page'); */

Route::get('/admin-panel', 'App\Http\Controllers\AdminViewOrders@StatsView')->middleware(['auth'])->name('admin-page');

Route::get('/admin-panel/users', 'App\Http\Controllers\AdminViewOrders@ViewUsers')->middleware(['auth'])->name('admin-users');


Route::get('admin-panel/orders/{method}/{id}', 'App\Http\Controllers\AdminViewOrders@OrderStatus')->middleware(['auth']);
Route::get('admin-panel/create-services', 'App\Http\Controllers\ServicesContrtoller@CreateServicesPage')->middleware(['auth'])->name('create-services');
Route::post('admin-panel/create-services/create', 'App\Http\Controllers\ServicesContrtoller@CreateServices')->middleware(['auth']);
Route::get('admin-panel/services/{id}', 'App\Http\Controllers\ServicesContrtoller@ServicesRedactor')->middleware(['auth'])->name('services-redactor');
Route::get('/admin-panel/orders', 'App\Http\Controllers\AdminViewOrders@ViewOrders')->middleware(['auth'])->name('orders');
Route::get('/admin-panel/orders/{id}', 'App\Http\Controllers\AdminViewOrders@ViewOrdersPage')->middleware(['auth'])->name('order-page');

RoutSer...

<?php

namespace App\Providers;

use Illuminate\Cache\RateLimiting\Limit;
use Illuminate\Foundation\Support\Providers\RouteServiceProvider as ServiceProvider;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\RateLimiter;
use Illuminate\Support\Facades\Route;

class RouteServiceProvider extends ServiceProvider
{
    /**
     * The path to the "home" route for your application.
     *
     * This is used by Laravel authentication to redirect users after login.
     *
     * @var string
     */
    public const HOME = '/dashboard';

    /**
     * The controller namespace for the application.
     *
     * When present, controller route declarations will automatically be prefixed with this namespace.
     *
     * @var string|null
     */
    // protected $namespace = 'App\\Http\\Controllers';

    /**
     * Define your route model bindings, pattern filters, etc.
     *
     * @return void
     */
    public function boot()
    {
        $this->configureRateLimiting();

        $this->routes(function () {
            Route::prefix('api')
                ->middleware('api')
                ->namespace($this->namespace)
                ->group(base_path('routes/api.php'));

            Route::middleware('web')
                ->namespace($this->namespace)
                ->group(base_path('routes/web.php'));


            Route::middleware(['web', 'can:view-admin'])
                ->namespace($this->namespace)
                ->group(base_path('routes/admin/web.php'));

        });
    }

    /**
     * Configure the rate limiters for the application.
     *
     * @return void
     */
    protected function configureRateLimiting()
    {
        RateLimiter::for('api', function (Request $request) {
            return Limit::perMinute(60)->by(optional($request->user())->id ?: $request->ip());
        });



    }
}

Auth

<?php

namespace App\Providers;

use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
use Illuminate\Support\Facades\Gate;
use Illuminate\Support\Facades\Auth;
use App\Models\User;


class AuthServiceProvider extends ServiceProvider
{
  /**
  * The policy mappings for the application.


  *
  * @var array
  */
  protected $policies = [
    // 'App\Models\Model' => 'App\Policies\ModelPolicy',
  ];


  /**
  * Register any authentication / authorization services.
  *
  * @return void
  */
  public function boot()
  {


    $this->registerPolicies();


    // my code

    Gate::define('view-admin', function (User $user) {

      if(Auth::user()->status == 'admin') {
            return $user->is_admin;
      }
      
    });

  }
}

Помоги плиз )

[jazzus]

DocTypeMaster, это что такое?

if(Auth::user()->status == 'admin') {
        return $user->is_admin;
}

измени на
return $user->status == 'admin';

[jazzus]

Если у тебя admin-panel во всех роутах то ты можешь добавить его в prefix RouteServiceProvider и не писать везде. И middleware auth можешь удалить т.к. правило can view-admin проверяет на авторизованного юзера. Вообще роуты жесть советую изучить этот раздел https://laravel.com/docs/8.x/routing