Entrust为我们在Laravel中实现基于角色的权限管理（RBAC）提供了简洁灵活的方式。

1、安装

想要在Laravel中使用Entrust，首先需要通过Composer来安装其依赖包：

composer require zizaco/entrust 5.2.x-dev

安装完成后需要在config/app.php中注册服务提供者到providers数组：

Zizaco\Entrust\EntrustServiceProvider::class,

同时在该配置文件中注册相应门面到aliases数组：

'Entrust' => Zizaco\Entrust\EntrustFacade::class,

如果你想要使用中间件（要求Laravel 5.1或更高版本）还需要添加如下代码到app/Http/Kernel.php的routeMiddleware数组：

'role' => \Zizaco\Entrust\Middleware\EntrustRole::class,
'permission' => \Zizaco\Entrust\Middleware\EntrustPermission::class,
'ability' => \Zizaco\Entrust\Middleware\EntrustAbility::class,

2、配置

在配置文件config/auth.php中设置合适的值，Entrust会使用这些配置值来选择相应的用户表和模型类：

'providers' => ['users' => ['driver' => 'eloquent','model' => App\User::class,'table' => 'users',],
],

你还可以发布该扩展包的配置以便后续自定义相关表名以及模型类的命名空间：

php artisan vendor:publish

该命令会在config目录下创建一个entrust.php文件。

3、用户角色权限表

接下来我们使用Entrust提供的迁移命令生成迁移文件：

php artisan entrust:migration

然后通过以下命令生成相应的数据表：

php artisan migrate

最终会生成4张新表：

• roles —— 存储角色
• permissions —— 存储权限
• role_user —— 存储角色与用户之间的多对多关系
• permission_role —— 存储角色与权限之间的多对多关系

4、模型类

Role

我们需要创建Role模型类app/Role.php并编辑其内容如下：

<?php namespace App;use Zizaco\Entrust\EntrustRole;class Role extends EntrustRole
{
}

Role模型拥有三个主要属性：

• name —— 角色的唯一名称，如“admin”，“owner”，“employee”等
• display_name —— 人类可读的角色名，例如“后台管理员”、“作者”、“雇主”等
• description —— 该角色的详细描述

display_name和description属性都是可选的，在数据库中的相应字段默认为空。

Permission

接下来创建Permission模型app/Permission.php并编辑其内容如下：

<?php namespace App;use Zizaco\Entrust\EntrustPermission;class Permission extends EntrustPermission
{
}

Permission模型也有三个主要属性：

• name —— 权限的唯一名称，如“create-post”，“edit-post”等
• display_name —— 人类可读的权限名称，如“发布文章”，“编辑文章”等
• description —— 该权限的详细描述

User

接下来我们在User模型中使用EntrustUserTrait：

<?phpnamespace App;use Illuminate\Notifications\Notifiable;
use Illuminate\Foundation\Auth\User as Authenticatable;
use Zizaco\Entrust\Traits\EntrustUserTrait;class User extends Authenticatable
{use Notifiable;use EntrustUserTrait;/*** The attributes that are mass assignable.** @var array*/protected $fillable = ['name', 'email', 'password',];/*** The attributes that should be hidden for arrays.** @var array*/protected $hidden = ['password', 'remember_token',];
}

这将会建立User与Role之间的关联关系：在User模型中添加roles()、hasRole($name)、can($permission)以及ability($roles,$permissions,$options)方法。

软删除

使用Entrust提供的迁移命令生成的关联关系表中默认使用了onDelete('cascade')以便父级记录被删除后移除其对应的关联关系。如果你由于某种原因不能在数据库中使用级联删除，那么可以在EntrustRole、EntrustPermission类以及HasRole trait提供的事件监听器中手动删除关联表中的记录。如果模型使用了软删除，那么当不小心误删除数据时，事件监听器将不会删除关联表数据。不过，由于Laravel事件监听器的局限性，所以暂时无法区分是调用delete()还是forceDelete()，基于这个原因，在你删除一个模型之前，必须手动删除所有关联数据（除非你的数据表使用了级联删除）：

$role = Role::findOrFail(1); // 获取给定权限// 正常删除
$role->delete();// 强制删除
$role->users()->sync([]); // 删除关联数据
$role->perms()->sync([]); // 删除关联数据$role->forceDelete(); // 不管透视表是否有级联删除都会生效

1、创建角色/权限并进行分配

首先我们来创建Role和Permission：

$owner = new Role();
$owner->name = 'owner';
$owner->display_name = 'Project Owner';
$owner->description = 'User is the owner of a given project';
$owner->save();$admin = new Role();
$admin->name = 'admin';
$admin->display_name = 'User Administrator';
$admin->description = 'User is allowed to manage and edit other users';
$admin->save();

接下来我们将创建的两个roles分配给用户：

$user = User::where('username', '=', 'michele')->first();//调用EntrustUserTrait提供的attachRole方法
$user->attachRole($admin); // 参数可以是Role对象，数组或id// 或者也可以使用Eloquent原生的方法
$user->roles()->attach($admin->id); //只需传递id即可

现在我们还需要添加相应权限到这些角色上：

$createPost = new Permission();
$createPost->name = 'create-post';
$createPost->display_name = 'Create Posts';
$createPost->description = 'create new blog posts';
$createPost->save();$editUser = new Permission();
$editUser->name = 'edit-user';
$editUser->display_name = 'Edit Users';
$editUser->description = 'edit existing users';
$editUser->save();$owner->attachPermission($createPost);
//等价于 $owner->perms()->sync(array($createPost->id));$admin->attachPermissions(array($createPost, $editUser));
//等价于 $admin->perms()->sync(array($createPost->id, $editUser->id));

2、检查角色&权限

完成上述操作后，下面我们可以检查相应角色和权限：

$user->hasRole('owner'); // false
$user->hasRole('admin'); // true
$user->can('edit-user'); // true
$user->can('create-post'); // true

hasRole()和can都可以接收数组形式的角色和权限进行检查：

$user->hasRole(['owner', 'admin']); // true
$user->can(['edit-user', 'create-post']); // true

默认情况下，如果用户拥有以上任意一个角色或权限都会返回true，如果你想检查用户是否拥有所有角色及权限，可以传递true作为第二个参数到相应方法：

$user->hasRole(['owner', 'admin']); // true
$user->hasRole(['owner', 'admin'], true); // false
$user->can(['edit-user', 'create-post']); // true
$user->can(['edit-user', 'create-post'], true); // false

用户可以拥有多个角色。

除此之外，还可以通过Entrust门面检查当前登录用户是否拥有指定角色和权限：

Entrust::hasRole('role-name');
Entrust::can('permission-name');

甚至还可以通过通配符的方式来检查用户权限：

// match any admin permission
$user->can("admin.*"); // true// match any permission about users
$user->can("*_users"); // true

3、ability方法

还可以通过使用ability方法来实现更加高级的检查，这需要三个参数（角色、权限、选项），同样角色和权限既可以是字符串也可以是数组：

$user->ability(array('admin', 'owner'), array('create-post', 'edit-user'));
// 或者
$user->ability('admin,owner', 'create-post,edit-user');

这将会检查用户是否拥有任意提供的角色和权限，在本例中会返回true，因为用户的角色是admin并且拥有create-post权限。

第三个参数是一个可选数组：

$options = array('validate_all' => true | false (Default: false),'return_type' => boolean | array | both (Default: boolean)
);

其中validate_all是一个布尔值，用于设置是否检查所有值；return_type用于指定返回布尔值、检查值数组还是两者都有。

下面是一个输出示例：

$options = array('validate_all' => true,'return_type' => 'both'
);list($validate, $allValidations) = $user->ability(array('admin', 'owner'),array('create-post', 'edit-user'),$options
);var_dump($validate);
// bool(false)var_dump($allValidations);
// array(4) {
//     ['role'] => bool(true)
//     ['role_2'] => bool(false)
//     ['create-post'] => bool(true)
//     ['edit-user'] => bool(false)
// }

同样，Entrust门面也为当前登录用户提供了ability方法：

Entrust::ability('admin,owner', 'create-post,edit-user');
// 等价于
Auth::user()->ability('admin,owner', 'create-post,edit-user');

4、Blade模板

在Blade模板中也可以使用上述三个方法对应的指令：

@role('admin')<p>This is visible to users with the admin role. Gets translated to\Entrust::role('admin')</p>
@endrole@permission('manage-admins')<p>This is visible to users with the given permissions. Gets translated to\Entrust::can('manage-admins'). The @can directive is already taken by corelaravel authorization package, hence the @permission directive instead.</p>
@endpermission@ability('admin,owner', 'create-post,edit-user')<p>This is visible to users with the given abilities. Gets translated to\Entrust::ability('admin,owner', 'create-post,edit-user')</p>
@endability

5、中间件

你可以在中间件中通过角色或权限来过滤路由以及路由群组：

Route::group(['prefix' => 'admin', 'middleware' => ['role:admin']], function() {Route::get('/', 'AdminController@welcome');Route::get('/manage', ['middleware' => ['permission:manage-admins'], 'uses' => 'AdminController@manageAdmins']);
});

支持OR/AND逻辑：

'middleware' => ['role:admin|root']
'middleware' => ['permission:owner', 'permission:writer']

同样可以使用ability中间件：

'middleware' => ['ability:admin|owner,create-post|edit-user,true']

6、路由过滤器的快捷实现

通过权限和角色过滤路由你还可以在app/Http/routes.php调用如下代码：

// 只有拥有'create-post'权限对应角色的用户才能访问admin/post*
Entrust::routeNeedsPermission('admin/post*', 'create-post');// 只有所有者才能访问admin/advanced*
Entrust::routeNeedsRole('admin/advanced*', 'owner');// 第二个参数可以是数组，这样用户必须满足所有条件才能访问对应路由
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'));
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'));

以上方法都可以接受第三个参数，如果第三个参数为空那么禁止访问默认调用App::abort(403)，否则会返回第三个参数，所以我们可以这么做：

Entrust::routeNeedsRole('admin/advanced*', 'owner', Redirect::to('/home'));

甚至还可以接受第四个参数，该参数默认为true，意味着将会检查提供的所有角色和权限，如果你将其设置为false，则该方法只有在所有角色/权限都不满足才会返回失败：

// 如果用户拥有'create-post'、'edit-comment'其中之一或者两个权限都具备则可以访问
Entrust::routeNeedsPermission('admin/post*', array('create-post', 'edit-comment'), null, false);// 如果用户是所有者、作者或者都具备则可以访问
Entrust::routeNeedsRole('admin/advanced*', array('owner','writer'), null, false);Entrust::routeNeedsRoleOrPermission('admin/advanced*',array('owner', 'writer'),array('create-post', 'edit-comment'),null,false
);

7、路由过滤器

Entrust角色/权限可通过调用Entrust门面上的can和hasRole方法应用在过滤器中：

Route::filter('manage_posts', function()
{// check the current userif (!Entrust::can('create-post')) {return Redirect::to('admin');}
});// 只有用户对应角色拥有 'manage_posts' 权限才能访问任意 admin/post 路由
Route::when('admin/post*', 'manage_posts');

使用过滤器来检查角色：

Route::filter('owner_role', function()
{// check the current userif (!Entrust::hasRole('Owner')) {App::abort(403);}
});// 只有所有者才能访问 admin/advanced* 路由
Route::when('admin/advanced*', 'owner_role');

正如你所看到的，Entrust::hasRole和Entrust::can方法检查用户是否登录、然后才去判断他们是否有用指定角色或权限，如果用户没有登录则直接返回false。

如果想要查看在Laravel 5.2中基于Entrust实现后台权限管理的实例可参考Ryan的这个Github项目：https://github.com/yuansir/laravel5-rbac-example