Laravels autoriserings-system styrer hvad en autentificeret bruger må gøre (forskellig fra autentificering — hvem de er). Gates er simple closures for tilladelser; Policies er klasser, der organiserer autoriseringslogik omkring en specifik model (f.eks. hvem der kan opdatere et Post).
::(, fn() => ->());
(::()) { ... }
::();
Gates er gode til simple, selvstændige tilladelser, der ikke er knyttet til en specifik model.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
En Policy-klasse grupperer autoriseringsreglerne for en model — hver metode besvarer "kan denne bruger udføre denne handling på denne model?" Dette holder autoriseringslogikken organiseret pr. ressource.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Metoderne authorize()/can() (og @can i Blade) kontrollerer automatisk policyen — smider en 403 eller skjuler UI, når brugeren ikke har tilladelse.
Autorisering er vigtig og sikkerhedskritisk — at styre, hvad autentificerede brugere må gøre (ikke blot om de er logget ind), er grundlæggende for programsikkerhed, og Laravels policies og gates giver en ren, organiseret måde at håndtere det på.
At forstå distinktionen mellem autentificering (hvem du er — login) og autorisering (hvad du kan gøre — tilladelser) er grundlæggende, og autoriseringsfejl fører til alvorlige sårbarheder (brugere får adgang til eller ændrer data, de ikke burde — brudt adgangskontrol er en topsikkerhedsrisiko).
Laravels system tilbyder to komplementære værktøjer: Gates til simple, selvstændige tilladelser (closure-baserede checks), og Policies — den almindelige, anbefalede tilgang — som organiserer en models autoriseringsregler i en dedikeret klasse (f.eks. hvem der kan opdatere eller slette et Post), hvilket holder autoriseringslogikken struktureret og vedligeholdelsesvenlig pr. ressource.
At forstå, hvordan man definerer policies/gates og håndhæver dem ($this->authorize(), $user->can(), @can i Blade — kontrol af tilladelser i controllere, kast 403'er, og betinget visning af UI) er vigtig for at opbygge sikre applikationer, hvor brugere kun kan udføre tilladte handlinger.
Da næsten enhver rigtig applikation har brug for finkornet adgangskontrol (sikre, at brugere kun kan ændre deres egne ressourcer, begrænse admin-handlinger osv.), og da forkert autorisering skaber farlige sikkerhedshulter, er kendskab til Laravels policies og gates — den rigtige, organiserede måde at implementere autorisering på — vigtig sikkerhedsrelevant senior-viden, der er vigtig for at opbygge applikationer, der korrekt håndhæver, hvem der kan gøre hvad, et hyppigt og kritisk krav i rigtige systemer.