Система ролей и разрешений для веб-сайта
RBAC (Role-Based Access Control) — разграничение доступа через роли. Пользователю назначается роль (admin, editor, viewer), роль имеет набор разрешений (create:articles, delete:comments). Изменяя роль — меняешь весь набор прав без редактирования каждого пользователя.
Структура прав
User ─── Role ─── Permission
admin articles:create
articles:edit
articles:delete
users:manage
editor articles:create
articles:edit
viewer articles:read
Или ABAC (Attribute-Based): права зависят от атрибутов ресурса (article.author_id === user.id).
Laravel — Spatie Permission
composer require spatie/laravel-permission
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider"
php artisan migrate
// User model
use HasRoles;
// Создание ролей и разрешений
Permission::create(['name' => 'articles.create']);
Permission::create(['name' => 'articles.edit']);
Permission::create(['name' => 'articles.delete']);
Permission::create(['name' => 'users.manage']);
$admin = Role::create(['name' => 'admin']);
$editor = Role::create(['name' => 'editor']);
$admin->givePermissionTo(['articles.create', 'articles.edit', 'articles.delete', 'users.manage']);
$editor->givePermissionTo(['articles.create', 'articles.edit']);
// Назначение ролей
$user->assignRole('editor');
$user->removeRole('editor');
// Проверка
$user->hasRole('admin');
$user->can('articles.delete');
$user->hasAnyRole(['admin', 'moderator']);
Gate и Policy
// Gates — простые проверки
Gate::define('delete-article', function (User $user, Article $article) {
return $user->hasRole('admin') || $article->author_id === $user->id;
});
// Policy — для конкретной модели
php artisan make:policy ArticlePolicy --model=Article
class ArticlePolicy
{
public function update(User $user, Article $article): bool
{
return $user->can('articles.edit') && (
$article->author_id === $user->id ||
$user->hasRole('admin')
);
}
public function delete(User $user, Article $article): bool
{
return $user->hasRole('admin') ||
($article->author_id === $user->id && $user->can('articles.delete'));
}
}
// Использование в Controller
public function update(Request $request, Article $article)
{
$this->authorize('update', $article);
// ...
}
// В Blade
@can('articles.create')
<a href="/articles/create">Написать статью</a>
@endcan
Middleware защиты роутов
Route::middleware(['role:admin'])->prefix('admin')->group(function () {
Route::resource('users', UserController::class);
});
Route::middleware(['permission:articles.create'])->group(function () {
Route::post('/articles', [ArticleController::class, 'store']);
});
Route::middleware(['role:admin|editor'])->group(function () {
Route::get('/articles/moderation', [ModerationController::class, 'index']);
});
Кэширование прав
Spatie кэширует разрешения в памяти. При массовых изменениях — сбросить:
app()[\Spatie\Permission\PermissionRegistrar::class]->forgetCachedPermissions();
// или через команду
php artisan permission:cache-reset
UI управления ролями
// Форма назначения роли пользователю
function UserRoleEditor({ user, roles }: { user: User; roles: Role[] }) {
const [selectedRoles, setSelectedRoles] = useState<string[]>(user.roles.map(r => r.name));
return (
<div>
{roles.map(role => (
<label key={role.id} className="flex items-center gap-2">
<input
type="checkbox"
checked={selectedRoles.includes(role.name)}
onChange={e => {
setSelectedRoles(prev =>
e.target.checked ? [...prev, role.name] : prev.filter(r => r !== role.name)
);
}}
/>
<span>{role.name}</span>
<span className="text-sm text-gray-500">
({role.permissions.length} разрешений)
</span>
</label>
))}
</div>
);
}
Сроки
Spatie Permission, роли/разрешения, Policies для моделей, middleware, UI управления ролями: 2–3 дня.