我正在编写一个将连接到vue.js前端的api。我有4种用户类型,它们都可以做不同的事情,在前面,我有适当的逻辑来检查用户级别,而不是让他们进入不允许其进入网站的部分。
在API方面,我如何强制他们只能执行允许的操作?我是否使用附加到用户令牌的作用域?或者执行Entrust或Laratrust之类的东西。
答案 0 :(得分:1)
我建议使用中间件或Laravel Gates。
我不是100%如何处理应用程序中的权限,但我会使用Gates方法,以便可以在控制器中执行类似$user->can('edit', $post)的操作。如果您的门逻辑返回false,则会返回403