以通过邮件，也可以通过 Slack、短信或者数据库发送通知。 Policies 目录 这个目录默认不存在，你可以通过执行 make:policy 命令来创建， Policies 目录包含了所有的授 权策略类，策略用于判断某个用户是否有权限去访问指定资源。更多详情，请查看授权文档。 Providers 目录 Providers 目录包含应用的所有服务提供者。服务提供者在启动应用过程中绑定服务到容器、注 Laravel 学院致力于提供优质 Laravel 中文学习资源 257 通过中间件 Laravel 提 供 了 一 个 可 以 在 请 求 到 达 路 由 或 控 制 器 之 前 进 行 授 权 的 中 间 件 — — Illuminate\Auth\Middleware\Authorize，默认情况下，这个中间件在 App\Http\Kernel 类中 被分配了一个 can 别名，下面我们来探究如何使用 ler 基类 的所有控制器提供了 authorize 方法，和 can 方法类似，该方法接收你想要授权的动作名称以及 相 应 模 型 实 例 作 为 参 数 ， 如 果 动 作 没 有 被 授 权 ， authorize 方 法 将 会 抛 出 Illuminate\Auth\Access\AuthorizationException ，Laravel 默认异常处理器将会将其转化为 状态码为

Y i i 2 . 0 权 权 权威 威 威指 指 指南 南 南 譨 譴 譴 議 謺 謯 謯 護 護 護 謮 譹 譩 譩 警 譲 譡 譭 譥 護 譯 譲 譫 謮 譣 譯 譭 謯 譤 譯 譣 謯 譧 譵 譩 譤 譥 Q i a n g X u e, A l ex a n d er M a k a r o v , C a r s t en B r a n d t , K l i m o v P a 和 f o o ( ) ， 它们用起来也像组件自 己定义的一样。 如果两个行为都定义了一样的属性或方法，并且它们都附加到同一个组 件， 那么首 首 首先 先 先附加上的行为在属性或方法被访问时有优先权。 附加行为到组件时的命名行为，可以使用这个名称来访问行为对象， 如 下所示： $ b e h a v i o r = $ c o m p o n e n t - > g e t B e h a v 能。例如輬 在登录后 譅 譖 譅 譎 譔 譟 譁 譆 譔 譅 譒 譟 譌 譏 譇 證 譎 的处理程序，你可以将用户的登 录时间和轉 轐 记录到 u s e r 表中。 9 . 3 授 授 授权 权 权 授权是指验证用户是否允许做某件事的过程。轙 轩 轩 提供两种授权方法： 存取 控制过滤器（轁 轃 轆 ）和基于角色的存取控制（轒 轂 轁 轃 ）。 9 . 3 . 1 存 存 存取 取 取控 控

访问其并未授权的 对象，通过一种mapping或其他的方法让攻击者无法直接访问。 n 检查访问：对每一个来自于不信任的源的直接对象引用都必须包 含访问控制检查，从而确信该用户对该对象拥有访问权。 78 3.9.跨站请求伪造 79 跨站请求伪造 n Cross-­Site Request Forgery q 也被称成为“one click attack”或者session

Artisan 命令生成策略类的时候使用 了 --model 选项，那么策略类中就会包含了 view、 create、update、delete、restore 和 forceDelete 授 权动作方法。 Policy 响应 到目前为止，我们只检查了返回简单布尔值的 Policy，和 Gate 一 样，有时候你可能也希望可以返回包含错误信息的、更加具体的响应， 要实现这个功能， 同样可以从 方法类似，该方法接收你想要授权的动 作名称以及相应模型实例作为参数，如果动作没有被授 本文档由学院君提供 学院君致力于提供优质 Laravel 中文学习资源：https://xueyuanjun.com 512 权， authorize 方法将会抛 出 Illuminate\Auth\Access\AuthorizationException ，Laravel 默认异常处理器将会将其转化为状态码为 403 的 >store( 'avatars/'.$request->user()->id, 's3' ); 文件可见度 在 Laravel 的 Flysystem 集成中，“可见度”是对不同平台上文件权 限的抽象，文件可以被声明成 public 或 private，当文件被声明 为 public，意味着文件可以被其他人访问。例如，使用 S3 时，可 以获取 public 文件的 URL。 使用

* 恢复微博 * @noacl * */ public function resume() 对 方 法 注 释 @acljump web/User/add 则 将 当 前 方 法 的 权 限 检 查 跳 转 为 检 查 web/User/add 方法的权限 比如上面说的 user/save 权限只要判断有无 user/add 或 user/edit 的 权限就好了。 /**

协议为用户资源的授权提供了一个安全的、开放而又简易的标准。与以往的授权方式不同之处是 OAuth 的授权不会使第三方触及到用户的帐号信息（如用户名与密码），即第三方无需使用用户的用户名与密码就可以申请获得该用户资源的授 权，因此 OAuth 是安全的。 OAuth 本身不存在一个标准的实现，后端开发者自己根据实际的需求和标准的规定实现。其步骤一般如下：  客户端要求用户给予授权  用户同意给予授权 首先来看 Gate，然后再看 Policy。 不要将 Gate 和 Policy 看作互斥的东西，实际上，在大多数应用中我们会混合使用它们，这很有必要，因为 Gate 通常用于与模型或资源无关的权 限，比如访问管理后台，与之相反，Policy 则用于对指定模型或资源的动作进行授权。 Gate 编写 Gate Gate 是用于判断用户是否有权进行某项操作的闭包，通常使用 Gate 门面定义在 ademy.org 214 默认情况下，view、create、update 和 delete 权限会被定义，你也可以通过传递一个数组作为第三个参数到 resource 方法来覆盖或添加其他权 限。这个数组的键就是权限名称，而对应的键值就是权限方法的名称。例如，下面的代码将会创建两个新的 Gate 定义 — — posts.image 和 posts.photo： Gate::resource('posts'

->where('user_id', Auth::id())->exists(); } 注意上面这个例子中对 route 方法的调用。该方法赋予用户访问被调用路由 URI 参数的权 限，比如下面这个例子中的{comment}参数： Route::post('comment/{comment}'); 如果 authorize 方法返回 false，一个包含 403 状态码的

->where('user_id', Auth::id())->exists(); } 注意上面这个例子中对 route 方法的调用。该方法赋予用户访问被调用路由 URI 参数的权 限，比如下面这个例子中的{comment}参数： Route::post('comment/{comment}'); 如果 authorize 方法返回 false，一个包含 403 状态码的