api-platform: 根据访问逻辑限制用户可以查看的记录_编程开发

api-platform: 根据访问逻辑限制用户可以查看的记录

创始人

2024-09-07 04:30:55

0次

要根据访问逻辑限制用户可以查看的记录，可以使用api-platform的自定义数据提供程序和表达式语言。

以下是一个示例解决方案的代码示例：

首先，创建一个自定义数据提供程序类，该类将过滤查询结果以仅返回用户有权访问的记录。例如，您可以根据用户的角色或其他条件进行过滤。

// src/DataProvider/RestrictedDataProvider.php

namespace App\DataProvider;

use ApiPlatform\Core\DataProvider\CollectionDataProviderInterface;
use ApiPlatform\Core\DataProvider\RestrictedDataProviderInterface;
use ApiPlatform\Core\Exception\ResourceClassNotSupportedException;
use Symfony\Component\Security\Core\Security;

class RestrictedDataProvider implements CollectionDataProviderInterface, RestrictedDataProviderInterface
{
    private $security;
    private $collectionDataProvider;

    public function __construct(Security $security, CollectionDataProviderInterface $collectionDataProvider)
    {
        $this->security = $security;
        $this->collectionDataProvider = $collectionDataProvider;
    }

    public function supports(string $resourceClass, string $operationName = null, array $context = []): bool
    {
        return true; // 支持所有资源类
    }

    public function getCollection(string $resourceClass, string $operationName = null, array $context = [])
    {
        $user = $this->security->getUser();
        $isAdmin = in_array('ROLE_ADMIN', $user->getRoles());

        // 在此处根据访问逻辑定义查询条件
        $criteria = [
            'user' => $isAdmin ? $user : $user->getId(),
        ];

        // 使用传入的CollectionDataProvider获取原始查询结果
        $rawCollection = $this->collectionDataProvider->getCollection($resourceClass, $operationName, $context);

        // 过滤查询结果以仅返回用户有权访问的记录
        $filteredCollection = array_filter($rawCollection, function ($item) use ($criteria) {
            // 根据条件过滤记录
            // 例如：return $item['userId'] === $criteria['user']->getId();
        });

        return $filteredCollection;
    }
}

然后，在服务配置中注册自定义数据提供程序：

# config/services.yaml

services:
    App\DataProvider\RestrictedDataProvider:
        arguments:
            - '@security.helper'
            - '@api_platform.collection_data_provider'

最后，将自定义数据提供程序应用于要限制访问的实体类上：

// src/Entity/YourEntity.php

namespace App\Entity;

use ApiPlatform\Core\Annotation\ApiResource;
use App\DataProvider\RestrictedDataProvider;

/**
 * @ApiResource(
 *     collectionOperations={
 *         "get"={
 *             "method"="GET",
 *             "path"="/your_entities",
 *             "access_control"="is_granted('ROLE_USER')"
 *         }
 *     },
 *     itemOperations={},
 *     dataProviderClass=RestrictedDataProvider::class
 * )
 */
class YourEntity
{
    // 实体类定义
}

在上述示例中，我们创建了一个自定义数据提供程序RestrictedDataProvider，该提供程序在getCollection方法中根据用户的角色和其他条件过滤查询结果。然后，我们将自定义数据提供程序应用于要限制访问的实体类上，并在access_control选项中设置访问控制规则。

请注意，您需要根据自己的需求修改自定义数据提供程序中的过滤逻辑和查询条件。

上一篇：Api-platform2.7-UnabletogenerateanIRIfortheitemoftype

下一篇：Api-Platform: 如何在管理视图中为Hydra-Provider添加过滤器

api-platform: 根据访问逻辑限制用户可以查看的记录

相关内容

热门资讯