在ThinkPHP项目中，权限判断逻辑的复杂度往往会随着业务增长而急剧上升。一个常见的误区是，将复杂的权限规则直接塞进控制器方法里，或者让策略类过度耦合底层实现。这不仅让代码难以维护，也让权限系统的扩展性大打折扣。今天，我们就来聊聊如何通过策略模式，优雅地解决这些痛点，并守住几个关键的设计原则。

权限判断逻辑散落在控制器里，改起来像拆冲击波

想象一下这个场景：在控制器的 index() 或 update() 方法里，堆满了诸如 if ($user->role === 'admin' || in_array($resource, $user->perms)) 的判断。短期内代码能跑起来，可一旦业务要求增加一个“部门协同编辑”的规则，你就得在好几页代码里大海捞针，寻找所有需要修改的“漏点”。问题的根源不在于逻辑本身有多复杂，而在于职责的错位——控制器本不该去关心“谁能在什么条件下删除订单”这类具体的业务规则。

正确的做法，是把权限判定抽离出来，形成独立的策略类。运用策略模式，我们可以按业务场景进行分发：订单删除走 OrderDeletePolicy，报表导出走 ReportExportPolicy。每个策略类只专注于一类规则的组合与短路判断逻辑。

• 所有策略类应统一实现一个清晰的接口，例如 check(User $user, array $context = []): bool。
• 策略的命名必须直观，带上业务动词和资源名，比如 ApplyRefundPolicy，要避免使用像 AuthPolicy 这样模糊不清的名字。
• 在ThinkPHP中，可以利用服务容器实现自动绑定，注册时使用 $this->app->bind('OrderDeletePolicy', OrderDeletePolicy::class) 即可。

策略类里硬编码 RBAC 规则，一换权限模型就全崩

另一个陷阱是在策略类内部写死RBAC（基于角色的访问控制）的实现细节。比如在 OrderDeletePolicy::check() 里直接返回 return $user->hasRole('manager') || $user->hasPermission('order:delete:own')。要知道，RBAC只是权限实现的一种方式，它不应该成为策略类的契约。策略类真正应该依赖的，是一个抽象的“能力”查询接口，例如 $this->ability->can('delete', 'order', $order)。

无论是使用ThinkPHP自带的 think-auth 扩展，还是自研的权限中间件，都应该提供一个统一的 Ability 门面（Facade）。策略类只需调用这个门面，而无需触及背后的角色表、权限表或关系表等具体实现。

• 策略类的构造函数应注入 Ability 实例，而不是具体的 User 模型。
• $context 参数应传递具体的资源实例（如 $order），让 Ability 在内部决定是否需要查询数据级权限。
• 务必避免在策略类里直接调用类似 Db::table('auth_rule')->where(...) 的语句——这无异于把SQL查询当成了业务策略。

策略切换靠 if-else 分支，新增类型要改调度器

我们经常见到这样的反模式：if ($action === 'delete') { new OrderDeletePolicy(); } elseif ($action === 'export') { new ReportExportPolicy(); }。每次增加一个新的操作类型，开发者都必须打开这个调度文件，手动添加一个分支，不仅繁琐，还容易遗漏默认处理导致报错。

更稳健的方案是采用“命名约定 + 容器自动解析”。我们可以规定策略类名固定为 {Resource}{Action}Policy 的格式，在运行时动态拼接出类名，然后交给容器去解析。ThinkPHP的 Loader::parseName() 或 Str::studly() 方法可以方便地处理下划线到驼峰的转换。

• 调度入口可以写成：$policyClass = "app\policy\" . Str::studly($resource . '_' . $action) . 'Policy'。
• 必须加上 class_exists($policyClass) 的判断，当类不存在时，抛出明确的 PolicyNotFoundException，而不是静默地回退到默认行为。
• 切忌使用 eval() 或 call_user_func() 进行动态调用，这会让IDE的跳转功能失效，静态分析工具（如PHPStan）也会直接报错。

策略返回 true/false，但前端需要“为什么没权限”

当用户点击删除按钮却毫无反应时，如果日志里只有一句冰冷的 access denied，排查成本就高了。运营同事来问“张三为什么不能删除这个订单？”，你可能需要翻看四层代码才能定位到是某条部门隔离规则起了作用。因此，策略接口必须支持反馈详细的拒绝原因。

解决方案是将返回值从简单的布尔值 bool，升级为一个对象：PolicyResult。这个对象至少应包含 allowed: bool 和 reason: string 两个属性。控制器拿到结果后，在开发环境下可以直接将 $result->reason 输出到响应头或日志中，极大提升调试效率。

• 使用 PolicyResult::denied('需部门主管审批') 虽然比直接 return false 多写几行代码，但却能省下未来数小时的排查时间。
• 注意，不要在 reason 中暴露数据库字段名或SQL片段，应使用业务语言描述，例如：“当前订单处于退款中，不可删除”。
• 前端调试时，可以考虑在响应头中加入 X-Permission-Reason 字段，并严格限制仅在开发环境开启。

说到底，策略模式本身并不复杂，真正的难点在于让团队中的每个人都遵守“策略只做决策”的边界原则。策略类不应该去查询数据库、渲染视图、记录日志或触发业务钩子。一旦某个策略开始越界，整个精心设计的机制就会退化成一层包装过的、更复杂的 if-else 语句，失去其应有的清晰度和可维护性。