Система ролей та дозволів для веб-сайту
RBAC (Role-Based Access Control) — розмежування доступу через ролі. Користувачу назначається роль (admin, editor, viewer), роль має набір дозволів (create:articles, delete:comments). Змінюючи роль — змінюєш весь набір прав без редагування кожного користувача.
Структура прав
User ─── Role ─── Permission
admin articles:create
articles:edit
articles:delete
users:manage
editor articles:create
articles:edit
viewer articles:read
Або ABAC (Attribute-Based): права залежать від атрибутів ресурсу (article.author_id === user.id).
Laravel — Spatie Permission
composer require spatie/laravel-permission
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider"
php artisan migrate
// User model
use HasRoles;
// Створення ролей та дозволів
Permission::create(['name' => 'articles.create']);
Permission::create(['name' => 'articles.edit']);
Permission::create(['name' => 'articles.delete']);
Permission::create(['name' => 'users.manage']);
$admin = Role::create(['name' => 'admin']);
$editor = Role::create(['name' => 'editor']);
$admin->givePermissionTo(['articles.create', 'articles.edit', 'articles.delete', 'users.manage']);
$editor->givePermissionTo(['articles.create', 'articles.edit']);
// Назначення ролей
$user->assignRole('editor');
$user->removeRole('editor');
// Перевірка
$user->hasRole('admin');
$user->can('articles.delete');
$user->hasAnyRole(['admin', 'moderator']);
Gate та Policy
// Gates — прості перевірки
Gate::define('delete-article', function (User $user, Article $article) {
return $user->hasRole('admin') || $article->author_id === $user->id;
});
// Policy — для конкретної моделі
php artisan make:policy ArticlePolicy --model=Article
class ArticlePolicy
{
public function update(User $user, Article $article): bool
{
return $user->can('articles.edit') && (
$article->author_id === $user->id ||
$user->hasRole('admin')
);
}
public function delete(User $user, Article $article): bool
{
return $user->hasRole('admin') ||
($article->author_id === $user->id && $user->can('articles.delete'));
}
}
// Використання в Controller
public function update(Request $request, Article $article)
{
$this->authorize('update', $article);
// ...
}
// У Blade
@can('articles.create')
<a href="/articles/create">Написати статтю</a>
@endcan
Middleware захисту роутів
Route::middleware(['role:admin'])->prefix('admin')->group(function () {
Route::resource('users', UserController::class);
});
Route::middleware(['permission:articles.create'])->group(function () {
Route::post('/articles', [ArticleController::class, 'store']);
});
Route::middleware(['role:admin|editor'])->group(function () {
Route::get('/articles/moderation', [ModerationController::class, 'index']);
});
Кешування прав
Spatie кешує дозволи у пам'яті. При масових змінах — сбросити:
app()[\Spatie\Permission\PermissionRegistrar::class]->forgetCachedPermissions();
// або через команду
php artisan permission:cache-reset
UI управління ролями
// Форма назначення ролі користувачу
function UserRoleEditor({ user, roles }: { user: User; roles: Role[] }) {
const [selectedRoles, setSelectedRoles] = useState<string[]>(user.roles.map(r => r.name));
return (
<div>
{roles.map(role => (
<label key={role.id} className="flex items-center gap-2">
<input
type="checkbox"
checked={selectedRoles.includes(role.name)}
onChange={e => {
setSelectedRoles(prev =>
e.target.checked ? [...prev, role.name] : prev.filter(r => r !== role.name)
);
}}
/>
<span>{role.name}</span>
<span className="text-sm text-gray-500">
({role.permissions.length} дозволів)
</span>
</label>
))}
</div>
);
}
Тимчасовість
Spatie Permission, ролі/дозволи, Policies для моделей, middleware, UI управління ролями: 2–3 дні.