Wie funktioniert die Autorisierung mit Richtlinien und Gates?

Question

Accepted Answer

Laravels **Autorisierungssystem** kontrolliert **was ein authentifizierter Benutzer tun darf** (unterschiedlich von Authentifizierung — *wer* sie sind). **Gates** sind einfache Closures für Berechtigungen; **Policies** sind Klassen, die Autorisierungslogik um ein spezifisches Modell organisieren (z.B. wer einen Post aktualisieren darf). ## Gates — einfache, closure-basierte Berechtigungen ```php // define a gate (e.g. in a service provider) Gate::define('edit-settings', fn($user) => $user->isAdmin()); // check it if (Gate::allows('edit-settings')) { ... } Gate::authorize('edit-settings'); // throws a 403 if denied ``` Gates sind gut für einfache, eigenständige Berechtigungen, die nicht an ein spezifisches Modell gebunden sind. ## Policies — modellzentrierte Autorisierung (der häufige Fall) ```php id === $post->user_id; // only the author can update } public function delete(User $user, Post $post): bool { return $user->id === $post->user_id || $user->isAdmin(); } } ``` Eine **Policy**-Klasse gruppiert die Autorisierungsregeln für ein Modell — jede Methode beantwortet "kann dieser Benutzer diese Aktion auf diesem Modell ausführen?" Das hält die Autorisierungslogik pro Ressource organisiert. ## Policies verwenden ```php // in a controller public function update(Request $request, Post $post) { $this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied // ... proceed (we know the user is authorized) } // the user model if ($request->user()->can('update', $post)) { ... } ``` ```blade {{-- in Blade — show UI only if authorized --}} @can('update', $post) Edit @endcan ``` Die `authorize()`/`can()`-Methoden (und `@can` in Blade) prüfen die Policy automatisch — werfen einen 403 oder verstecken die UI, wenn der Benutzer nicht berechtigt ist. ## Warum es wichtig ist Autorisierung ist essentiell und **sicherheitskritisch** — die Kontrolle, was authentifizierte Benutzer tun dürfen (nicht nur ob sie angemeldet sind), ist grundlegend für die Anwendungssicherheit, und Laravels Policies und Gates bieten eine saubere, organisierte Möglichkeit, damit umzugehen. Das Verständnis für die Unterscheidung zwischen **Authentifizierung** (wer du bist — Login) und **Autorisierung** (was du tun kannst — Berechtigungen) ist grundlegend, und Autorisierungsfehler führen zu ernsthaften Sicherheitslücken (Benutzer greifen auf Daten zu oder ändern diese, die sie nicht sollten — broken access control ist eines der Top-Sicherheitsrisiken). Laravels System bietet zwei komplementäre Werkzeuge: **Gates** für einfache, eigenständige Berechtigungen (closure-basierte Prüfungen), und **Policies** — der häufige, empfohlene Ansatz — welche die Autorisierungsregeln eines Modells in einer dedizierten Klasse organisieren (z.B. wer einen Post aktualisieren oder löschen darf), was die Autorisierungslogik pro Ressource strukturiert und wartbar hält. Zu verstehen, wie man Policies/Gates definiert und durchsetzt (`$this->authorize()`, `$user->can()`, `@can` in Blade — Berechtigungen in Controllern prüfen, 403er werfen, und UI bedingt anzeigen) ist wichtig für die Erstellung sicherer Anwendungen, in denen Benutzer nur erlaubte Aktionen ausführen können. Da fast jede echte Anwendung feinkörnige Zugriffskontrolle benötigt (Sicherstellen, dass Benutzer nur ihre eigenen Ressourcen ändern können, Admin-Aktionen einschränken, etc.), und da falsch umgesetzte Autorisierung gefährliche Sicherheitslöcher schafft, ist das Verständnis von Laravels Policies und Gates — die richtige, organisierte Möglichkeit zur Implementierung von Autorisierung — wichtiges sicherheitsrelevantes Senior-Wissen, das essentiell ist für die Erstellung von Anwendungen, die korrekt durchsetzen, wer was tun darf, eine häufige und kritische Anforderung in echten Systemen.