Jak funguje autorizace pomocí policies a gates?

Question

Accepted Answer

Autorizační systém Laravel kontroluje **co smí ověřený uživatel dělat** (na rozdíl od autentizace — *kdo* je). **Gates** jsou jednoduché closure pro oprávnění; **Policies** jsou třídy, které organizují autorizační logiku kolem konkrétního modelu (např. kdo může aktualizovat Post). ## Gates — jednoduché, closure-based oprávnění ```php // define a gate (e.g. in a service provider) Gate::define('edit-settings', fn($user) => $user->isAdmin()); // check it if (Gate::allows('edit-settings')) { ... } Gate::authorize('edit-settings'); // throws a 403 if denied ``` Gates jsou vhodné pro jednoduché, samostatné oprávnění, která nejsou vázána na konkrétní model. ## Policies — autorizace zaměřená na model (běžný případ) ```php id === $post->user_id; // only the author can update } public function delete(User $user, Post $post): bool { return $user->id === $post->user_id || $user->isAdmin(); } } ``` Třída **Policy** seskupuje autorizační pravidla pro model — každá metoda odpovídá na otázku "může tento uživatel provést tuto akci na tomto modelu?" To udržuje autorizační logiku organizovanou za zdroj. ## Používání policies ```php // in a controller public function update(Request $request, Post $post) { $this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied // ... proceed (we know the user is authorized) } // the user model if ($request->user()->can('update', $post)) { ... } ``` ```blade {{-- in Blade — show UI only if authorized --}} @can('update', $post) Edit @endcan ``` Metody `authorize()`/`can()` (a `@can` v Blade) automaticky kontrolují policy — vyvolávají chybu 403 nebo skrývají UI, když uživatel nemá povolení. ## Proč na tom záleží Autorizace je nezbytná a **kritická z hlediska bezpečnosti** — kontrola toho, co si ověření uživatelé mohou dovolit (ne jen zda jsou přihlášeni), je základem bezpečnosti aplikace, a policies a gates Laravel poskytují čistý, organizovaný způsob, jak to zvládat. Chápání rozdílu mezi **autentizací** (kdo jste — přihlášení) a **autorizací** (co můžete dělat — oprávnění) je základní, a selhání autorizace vede k vážným chybám zabezpečení (uživatelé přistupují nebo upravují data, která by neměli — porušená kontrola přístupu je jedním z největších bezpečnostních rizik). Systém Laravel nabízí dva komplementární nástroje: **Gates** pro jednoduché, samostatné oprávnění (closure-based kontroly) a **Policies** — běžný, doporučovaný přístup — které organizují autorizační pravidla modelu do dedikované třídy (např. kdo může aktualizovat nebo smazat Post), čímž zůstává autorizační logika strukturovaná a udržovatelná za zdroj. Chápání toho, jak definovat policies/gates a prosazovat je (`$this->authorize()`, `$user->can()`, `@can` v Blade — kontrola oprávnění v kontrolerech, vyvolávání 403s a podmíněné zobrazování UI) je důležité pro vytváření bezpečných aplikací, kde mohou uživatelé provádět pouze povolené akce. Protože téměř každá reálná aplikace potřebuje jemnou kontrolu přístupu (zajistění, že uživatelé mohou upravovat pouze své vlastní zdroje, omezení akcí pro administrátory atd.) a protože chybná autorizace vytváří nebezpečné bezpečnostní chyby, znalost policies a gates Laravel — správného, organizovaného způsobu implementace autorizace — je důležitá, bezpečnostně relevantní znalost senior úrovně, která je nezbytná pro vytváření aplikací, které správně prosazují, kdo může dělat co, což je časté a kritické požadavku v reálných systémech.