权限校验失败、按钮不可见、后台返回403却不报具体错误——如果你也遇到了这些头疼的问题,先别急着怀疑自己的配置。很多时候,问题的根源并不在于角色或权限没配对,而是 Auth::check() 这个关键方法,要么没在正确的时机被调用,要么它要检查的权限标识压根就没被加载到缓存里。
中间件里Auth::check()总返回false?先确认Auth::setUser()调了没
首先要明确一个核心机制:ThinkPHP8 内置的 Auth 类,默认是从 Session 或缓存中读取用户的权限列表,而不是每次鉴权都去实时查询数据库。这就意味着,如果用户登录成功后,你没有主动调用 Auth::setUser($uid) 来初始化权限缓存,那么后续在中间件里所有的 Auth::check('admin/user/edit') 调用都会直接返回 false,即使数据库里的角色和权限关联得明明白白。
- 登录后立即执行:必须在登录验证成功的逻辑里,立刻执行
Auth::setUser($user['id']),将用户权限加载到缓存。不要等到页面跳转完成,或者把这一步放到通用的中间件里再去处理。 - 权限名要规范:在中间件中构造权限名时,切忌使用
$request->param('id')这类动态参数来拼接。应该统一使用路由定义时的规则名(例如admin/user/delete)。否则,一旦URL参数发生变化,权限校验就会失效。 - 多应用隔离:在 Admin、Api 等多应用分离的项目中,调用
Auth::check()时必须显式传入应用名,例如:Auth::check('user/delete', $uid, 'admin'),以确保在正确的应用上下文下进行权限匹配。 - 无状态认证方案:如果项目采用 JWT 或无状态的 Token 认证,Session 方案不再适用。此时需要将权限列表存入 Redis,键名可设计为
user_permissions_{$uid},值为序列化后的权限数组,并设置合理的过期时间(如3600秒)。
权限标识name必须和路由定义完全一致
这里有一个非常严格的匹配规则:权限名(name)不是“看着像”就可以,它必须与 route/app.php 中注册的完整路由规则名保持绝对一致,包括分隔符(斜杠)、大小写以及前后缀。
- 精确匹配:如果你的路由定义为
Route::get('admin/user/list', 'admin.UserController@list'),那么对应的权限名只能是admin/user/list。 - 常见错误:使用
admin.user.list(点分隔)、user_list(下划线)或/admin/user/list(开头多一个斜杠)都会导致Auth::check()匹配失败。 - 按钮级权限:同理,一个删除按钮对应的后端接口路由可能是
admin/user/delete/:id,但权限名应该设置为admin/user/delete,不需要包含动态参数:id。 - 前端最佳实践:在前端渲染菜单或按钮时,建议通过
request()->rule()->getName()动态获取当前请求的路由名,以此作为权限判断的依据,可以有效避免硬编码带来的维护问题。
为什么getAllPermissions()每次都查库?警惕模型中的N+1查询
为了代码整洁,很多开发者喜欢在 User 模型里封装一个 getAllPermissions() 方法。这看似优雅,实则埋下性能隐患。每次鉴权调用该方法,都会触发典型的 N+1 查询:先查询用户角色,再循环查询每个角色拥有的权限,最后合并去重。在并发稍高的场景下,数据库连接池很容易被打满。
- 一次性加载:正确的做法是在用户登录成功后,通过一次联表查询(JOIN
role_permission和permissions表)获取该用户的所有权限标识,然后将结果存入 Session 或 Redis。 - 缓存优先:在中间件进行权限校验时,优先从
session('user_permissions')或缓存中读取。如果为空,再回退到数据库查询,并立即将结果回填到缓存,避免下次请求再次查库。 - 主动清理缓存:当后台管理员修改了角色权限或删除了某个权限规则后,必须主动清除相应用户的权限缓存,例如:
cache('user_permissions_'.$uid, null)。否则,用户将继续持有旧的、已失效的权限数据。 - 慎用缓存标签:不要过度依赖
Cache::tag('auth')来统一清理。在复杂的 RBAC 场景下,缓存标签的粒度太粗,容易误伤其他业务缓存,导致难以预料的问题。
按钮没权限但页面能打开?检查type和condition字段
另一个典型的诡异现象是:菜单可以正常显示,页面也能打开,唯独某个操作按钮点了没反应。这通常不是前端问题,而是后端权限表中 type 或 condition 字段的配置干扰了鉴权逻辑。
- type字段是关键:在
auth_rule表中,type = 1通常表示菜单权限,type = 2表示操作权限(按钮或API接口)。Auth::check()在默认情况下,只校验type = 2的记录。因此,所有按钮级别的权限,其type必须设置为 2。 - condition字段要慎用:这个字段允许你设置额外的 SQL 条件。但请注意,每次鉴权时,系统都会将这个条件拼接到查询中执行。这不仅容易引发 SQL 注入风险,如果条件字段没有索引,还可能导致全表扫描,查询超时后鉴权会直接返回 false。除非确实需要“仅允许用户编辑自己创建的内容”这类动态权限,否则建议将其留空。
- 常见配置错误:将按钮权限误设为
type = 1;或者给condition填写了类似status=1的条件,但status字段没有加索引,导致性能瓶颈。 - 调试方法:遇到问题时,可以在中间件里临时执行
dump(Db::name('auth_rule')->where('name', 'admin/user/delete')->find()),确认对应记录的type、condition等字段值是否符合预期。
最后,还有一个极易被忽略的细节:当你在后台删除某个权限规则后,除了清理缓存,还必须检查 role_permission 这类角色-权限关联表中,是否还残留着已被删除的权限ID。如果数据库没有设置外键约束的 ON DELETE CASCADE(级联删除),就会出现“界面上权限已经删了,但用户依然能操作”的灵异现象。定期检查并清理这些残留的关联数据,是保证权限系统干净的必要步骤。
