URL laravelにidを入力して別のユーザーのページにアクセスすることを制限する方法

Question

私は働いているWebアプリケーションを持っています。ユーザーは一意のIDを持つ患者を作成できます。私が持っている問題は、別のユーザーがログインしたときに、URLにIDを入力するだけで、自分に割り当てられていない患者に簡単にアクセスできることです。どうすればこの問題を解決できますか？彼の患者を表示する ユーザーのための私のルートの相続人サンプル：

Route::get('patients/{patient}/view', 'Portal\PatientController@viewPatient');

とPatientcontrollerで：

public function viewPatient($patient){ 
    $patient = Patient::where('id', $patient)->first(); 
    return view ('portal.patient',compact('patient')); 
} 

してください、私が間違って何をやっていますか？

Answer 1

あなたはそのためのpoliciesを使用することができます。

ポリシーは、特定のモデルまたはリソースの周りに承認ロジックを整理するクラスです。たとえば、アプリケーションがブログの場合、ポストモデルとそれに対応するポストポリシーがあり、投稿の作成や更新などのユーザーアクションを承認することができます。

またはgates：

ゲイツは、ユーザーが特定のアクション

を実行するために許可されている場合、私は、ポリシーを使用すると思いますが、場合は、手動でチェックすることができるかを決定クロージャですユーザーは次のようなページを表示できます。

if (auth()->id() !== $patient) { 
    return redirect('/')->with('message', 'You can not view this page'); 
} 

Answer 2

GETにidを入力せずにこのページにアクセスしてください。たとえば、あなただけでログインして現在のユーザーからの患者を取得する場合：

web.php：

Route::get('patients/view', 'Portal\PatientController@viewPatient'); 

Patientcontroller：

public function viewPatient(){ 
    $id = auth()->id(); 

    $patient = Patient::where('id', $id)->first(); 
    return view ('portal.patient',compact('patient')); 
} 

することは、このことを覚えておいてください認証されたユーザーだけが動作します。

Answer 3

データベーステーブルの構造は、この

Patients 
-------- 
id //Unique ID of Patient 
user_id //User that created 
patient 

のようなものであるならば、あなたは次のようにコントローラのチェックを行うことができます。

public function viewPatient($patient) 
{ 
    $patient_check = Patient::where('id', $patient)->where('user_id','=',Auth::user()->id)->first(); 
    if($patient_check == null || count($patient_check) == 0) 
    { 
     return "You cannot view this patient"; 
    } 
    else 
    { 
     return view ('portal.patient',compact('patient')); 
    } 
} 

これは簡単ですが、まだ動作します。