如何使用ThinkPHP自定义验证器实现管理员操作权限校验及权限判断?
- 内容介绍
- 文章标签
- 相关推荐
本文共计1080个文字,预计阅读时间需要5分钟。
直接输出:
自定义中间件能明确分离关注点:路由进来了,先过权限关,不满足直接 throw new HttpException(403) 或返回 JSON 错误,Controller 完全不用操心“我有没有权”。
- 中间件中调用
Auth::user()获取当前登录用户,再查其角色/权限节点(建议缓存user_permissions字段或 Redis 中的权限集合) - 避免在中间件里做 DB 查询,权限数据应提前加载好;若用 RBAC 模型,推荐预载
roles.permissions关系,而不是每次查三张表 - 别用
session('admin_role')这类弱校验——Session 可被伪造,必须以用户 ID 为依据重新查库或缓存
自定义验证器怎么接权限字段?rule 里不能写业务逻辑
ThinkPHP 的 Validate 类本质是数据格式与范围校验器,不是权限闸门。你不能在 rule 里塞 Auth::can('delete_user')——它没用户上下文,且校验器执行时机早于中间件,此时 Auth 可能根本没初始化。
本文共计1080个文字,预计阅读时间需要5分钟。
直接输出:
自定义中间件能明确分离关注点:路由进来了,先过权限关,不满足直接 throw new HttpException(403) 或返回 JSON 错误,Controller 完全不用操心“我有没有权”。
- 中间件中调用
Auth::user()获取当前登录用户,再查其角色/权限节点(建议缓存user_permissions字段或 Redis 中的权限集合) - 避免在中间件里做 DB 查询,权限数据应提前加载好;若用 RBAC 模型,推荐预载
roles.permissions关系,而不是每次查三张表 - 别用
session('admin_role')这类弱校验——Session 可被伪造,必须以用户 ID 为依据重新查库或缓存
自定义验证器怎么接权限字段?rule 里不能写业务逻辑
ThinkPHP 的 Validate 类本质是数据格式与范围校验器,不是权限闸门。你不能在 rule 里塞 Auth::can('delete_user')——它没用户上下文,且校验器执行时机早于中间件,此时 Auth 可能根本没初始化。