我只是想向有蚂蚁看的人展示公司 authServiceProvider:
Company::class => CompanyPolicy::class ,
'App\Models\Company' => 'App\Policies\CompanyPolicy',
companyPolicy
public function view( Company $company)
{
return true ;
}
companyController
public function __construct(CompanyRepository $companies)
{
$this->companies = $companies;
}
public function show(Company $company)
{
$this->authorize('view', $company);
return $this->companyRepository->show($company);
}
路由到控制器:
Route::apiResource('companies', 'CompanyController');
它总是返回此操作是未经授权的。为什么?
答案 0 :(得分:1)
Company::class => CompanyPolicy::class,行在您的AuthServiceProvier中是多余的,您必须将其删除。
让我举个例子:
假设我们有一个名为SomeModel的模型,并已注册其策略。该策略具有view方法,用于检查当前用户是否可以调用show方法。
对于api的后卫,您可以创建一个trait,如下所示:
trait ApiTrait
{
/**
* Authorize a given action for the current user.
*
* @param mixed $ability
* @param mixed|array $arguments
* @return \Illuminate\Auth\Access\Response
*
* @throws \Illuminate\Auth\Access\AuthorizationException
*/
public function authorizeApi($ability, $arguments)
{
if (!request()->user('api')->can($ability, $arguments)) {
abort(403, 'This action is unauthorized.');
}
}
}
然后在您的控制器中使用它:
class ExampleController extends Controller
{
use ApiTrait;
public function show(SomeModel $something)
{
$this->authorize('view', $something);
return 'it workes';
}
}
请注意,您应该使用auth:api的中间件来保护您的路由,否则在can中调用ApiTrait方法时会得到错误代码500。