在 api 资源方法上有条件地应用 Passport 范围

Question

我正在使用护照个人访问令牌来保护我的 API。以下是一些代码片段。

// api.php
Route::apiResource('categories', 'CategoryController');

AuthServiceProvider.php

public function boot()
    {
        $this->registerPolicies();

        //scopes 
        Passport::tokensCan([
            'admin' => 'Perform every action',
            'user' => 'Perform only normal user actions',
        ]);

        // passport routes
        Passport::routes();
        //
    }

CategoryController.php

class CategoryController extends Controller
{
    function __construct()
    {
        $this->middleware('api:auth', ['scopes: admin']);
    }
    /**
     * Display a listing of the resource.
     *
     * @return \Illuminate\Http\Response
     */
    public function index(Request $request)
    {   
        return CategoryResource::collection(Category::all()); 
    }
    ...

如您所见，我使用了只有管理员用户才能访问的管理范围。但问题是类别模型只能由管理员范围编辑或更新，并且可以由管理员和用户范围访问。解决此问题的最佳方法是什么？

Answer 1

一个对我有用的解决方案是我使用了两次不同范围的中间件。

class CategoryController extends Controller
{
    function __construct()
    {
        $this->middleware('api:auth', ['scopes: admin'])->except(['index']);
        $this->middleware('api:auth', ['scopes: user'])->only(['index']);
    }
    /**
     * Display a listing of the resource.
     *
     * @return \Illuminate\Http\Response
     */
    public function index(Request $request)
    {   
        return CategoryResource::collection(Category::all()); 
    }
    ...

在 api 资源方法上有条件地应用 Passport 范围

Applying Passport scopes conditionally on api resource methods

scopes

laravel

laravel-passport

laravel-7