0
我目前正在使用用戶創建模型的項目上工作,只有他/她被允許查看,編輯或刪除。允許CRUD僅用於Auth ::擁有資源的用戶
創建部分通過Eloquent Relationships完成,但對於其他操作,我想將它與Route Model綁定結合起來,而不是手動在控制器中。我試着用中間件解決它,但我無法訪問資源。
有人可以指點我正確的方向,任何最佳實踐,歡迎!
A
回答
2
我個人使用路由模型綁定,但只允許模型綁定,如果用戶擁有該記錄。
這意味着無論如何 - 人們無法訪問別人的記錄。因此,例如,在我的路線,我可以做
$router->get('property/{property}, ['uses' => [email protected]]);
然後:
$router->bind('property', function($value) {
$property = \App\Property::findOrFail($value);
if ((int)$property->user_id !== (int)auth()->id()) {
abort (404);
}
return $property;
});
所以 - 我們有一個property路線,它會試圖找到的財產記錄給出。然後它會檢查用戶是否擁有該記錄,否則會拋出一個404(但您可以重定向或執行某些操作 - 取決於您)。
相關問題
- 1. 從擁有資源
- 2. ZF檢查用戶是否被允許使用資源
- 3. 允許用戶刪除擁有的前綴數據庫
- 4. CakePHP Auth允許JSON擴展
- 5. asp.net razor允許編輯頁面僅用於登錄用戶
- 6. CakePHP的Auth->允許不允許的行爲沒有登錄
- 7. 僅允許內部使用源代碼的許可證
- 8. 用戶具有MySQL權限但僅允許選擇,但phpMyAdmin允許編輯
- 9. 適用於CRUD應用程序的AngularJS $資源參數編程
- 10. Resteasy授權設計 - 檢查用戶是否擁有資源
- 11. 使用.htaccess,防止用戶訪問資源目錄,但允許源代碼訪問資源
- 12. JAX-RS中擁有的資源
- 13. PHP CRUD應用程序,密碼擁有
- 14. 聲明對象擁有什麼資源
- 15. 如何保護遊戲的源代碼僅用於允許的域名?
- 16. 火力地堡安全規則 - 允許讀取僅用於用戶的內容
- 17. 訪問控制允許來源不允許使用AJAX來源
- 18. 不允許加載本地資源
- 19. PhantomJS不允許加載本地資源
- 20. 不允許加載本地資源
- 21. 不允許加載本地資源
- 22. 資源規範不允許錯誤
- 23. 僅允許使用「合理」字符的用戶名
- 24. LDAP過濾器只允許擁有組成員身份的用戶
- 25. Twitter GET用戶/搜索client_credentials:您的憑據不允許訪問此資源
- 26. 不允許用戶在一定的時間限制後刪除其資源?
- 27. SQL - 允許用戶使用
- 28. 允許用戶使用Ansible
- 29. 允許用戶使用jQuery
- 30. Spring是否允許使用變量作爲資源的名稱?
我正在尋找這樣的答案,中間件和/或請求會讓它太複雜。謝謝! –
不會使用'middleware'或'requests'使它更容易? – surfer190