本文介绍如何在 laravel 中通过多对多关系(pivot 表)实现用户-仓库权限隔离,并结合批次(lot)追踪逻辑,支撑跨仓调拨、分批库存核算与多级审批流程。
在您的仓储管理系统中,“用户仅能访问指定仓库”这一核心权限需求,本质上是典型的多对多关系建模问题——一个用户可归属多个仓库(如管理员),一个仓库也可被多个用户协同管理(如质检+仓管)。Laravel 原生的 belongsToMany 关系配合中间表(即 pivot table),正是解决此类场景的标准且高效方案。
✅ 正确使用 Pivot 表:不只是关联,更是权限控制基座
您无需手动创建复杂 ACL 规则,而是将 warehouse_user 表作为权限载体:
// 数据库迁移(中间表)
Schema::create('warehouse_user', function (Blueprint $table) {
$table->id();
$table->foreignId('user_id')->constrained()->onDelete('cascade');
$table->foreignId('warehouse_id')->constrained()->onDelete('cascade');
$table->timestamps();
// 唯一约束,避免重复授权
$table->unique(['user_id', 'warehouse_id']);
});对应模型定义保持简洁清晰:
// app/Models/User.php
class User extends Model
{
use HasRoles; // 配合 spatie/laravel-permission 使用角色能力
public function warehouses()
{
return $this->belongsToMany(Warehouse::class);
}
// 便捷作用域:获取当前用户有权限的仓库
public function accessibleWarehouses()
{
return $this->warehouses();
}
}
// app/Models/Warehouse.php
class Warehouse extends Model
{
protected $fillable = ['name', 'code', 'location'];
public function users()
{
return $this->belongsToMany(User::class);
}
// 关联库存批次(LOT)记录
public function lots()
{
return $this->hasMany(ItemLot::class);
}
}? 权限集成:Spatie + Pivot = 精准数据隔离
利用 spatie/laravel-permission 的角色能力(如 'warehouse-manager')叠加 pivot 表的数据级过滤,实现双重保障:
// 控制器中安全查询(示例:获取用户可操作的库存)
public function index(Request $request)
{
$warehouses = auth()->user()->warehouses; // 仅返回已授权的仓库
$lots = ItemLot::whereIn('warehouse_id', $warehouses->pluck('id'))
->with(['item', 'warehouse'])
->get();
return view('lots.index', compact('lots'));
}⚠️ 注意:切勿仅依赖前端隐藏菜单或路由限制——所有数据接口必须服务端校验 auth()->user()->warehouses->contains($targetWarehouse),否则存在越权风险。
? 扩展 LOT 批次管理:为 pivot 思维注入业务语义
您的 LOT 流程(如 "28012025/02025022" 合并编码)不依赖 pivot 表本身,但需围绕它构建业务层:
// app/Models/ItemLot.php
class ItemLot extends Model
{
protected $fillable = [
'item_id',
'warehouse_id',
'lot_code',
'quantity',
'received_at',
'origin_lot_ids' // JSON 存储来源 LOT ID 数组,支持溯源
];
public function warehouse()
{
return $this->belongsTo(Warehouse::class);
}
public function item()
{
return $this->belongsTo(Item::class);
}
}
// 创建合并 LOT 的示例方法
public function createMergedLot($sourceLots, $targetWarehouse, $quantity)
{
$mergedCode = implode('/', array_column($sourceLots, 'lot_code')) . '/' . now()->format('Ymd');
return ItemLot::create([
'item_id' => $sourceLots[0]->item_id,
'warehouse_id' => $targetWarehouse->id,
'lot_code' => $mergedCode,
'quantity' => $quantity,
'origin_lot_ids' => $sourceLots->pluck('id')->toArray()
]);
}✅ 最佳实践总结
- Pivot 表是权限基石,不是业务表:warehouse_user 仅用于授权判定,库存、调拨、LOT 等业务逻辑应独立建模。
- 始终服务端鉴权:即使使用 Spatie 的 can() 方法,也需结合 pivot 关系做 WHERE warehouse_id IN (...) 过滤。
- LOT 编码规则由业务服务层统一生成:避免数据库触发器或前端拼接,确保一致性与可测试性。
- 审计留痕不可少:为 warehouse_user 表添加 created_by 字段,记录谁何时授予了哪项仓库权限。
通过这套设计,您既能满足客户严格的“单用户单仓可见性”要求,又能灵活支撑多级 LOT 合并、跨仓调拨确认、成品生成追溯等复杂业务流——而这一切,都始于一个结构清晰、职责分明的 pivot 表。
