我是Laravel的新手并且有一点问题。
我想要完成的只是帖子的创建者/所有者可以编辑/查看/删除它。
每个帖子属于一个用户,每个用户可以拥有多个帖子(1对多关系)。那部分就像一个魅力。
更具体地说,如果调用其中一条路线:
GET mydomain.com/posts/{id} (show)
GET mydomain.com/posts/{id}/edit (edit)
PUT mydomain.com/posts/{id} (update)
DELETE mydomain.com/posts/{id} (destroy)
应用程序应检查当前经过身份验证的用户的ID是否与帖子user_id字段匹配。
据我所知,中间件无法实现这一点,因为中间件无法访问当前的Post-Object,我无法将参数传递给它。
目前我能够通过过滤器实现我的目标(我使用路由模型绑定)。
Route::filter('isOwnerOfPost', function() {
if(Route::input('posts')->user_id !== \Auth::id()) {
abort(403);
};
});
Route::get('posts', 'PostController@index');
Route::group(['before' => 'isOwnerOfPost'], function(){
Route::resource('posts', 'PostController', ['except' => ['index', 'create', 'store']]);
});
但这个解决方案对我来说似乎有些混乱。我必须为每个模型创建一个新的过滤器,我不能使用资源丰富的路由(至少不完全)。
有没有更好的方法来实现这种行为?
答案 0 :(得分:1)
我能用中间件解决它。以下代码仅在参数的路径模型绑定为“活动”时才有效。
我真的不知道这是否是正确的方法,但它似乎有用......
public function handle($request, Closure $next)
{
$requestParameters = $request->route()->parameters();
foreach ($requestParameters as $requestParameter) {
// Loop through route parameters
if (gettype($requestParameter) === "object") {
// Route Model Binding is active for this parameter
if (isset($requestParameter->user_id)) {
// Model has an owner (column user_id is set)
$owner = $requestParameter->user_id;
if ($owner !== Auth::id()) {
// Authenticated user is the not owner
abort(403);
}
}
}
}
return $next($request);
}
答案 1 :(得分:0)