El sistema de autorización de Laravel controla qué acciones está permitido realizar a un usuario autenticado (distinto de autenticación — quién es). Las puertas (Gates) son cierres simples para permisos; las Políticas son clases que organizan la lógica de autorización alrededor de un modelo específico (p. ej. quién puede actualizar un Post).
::(, fn() => ->());
(::()) { ... }
::();
Las puertas son útiles para permisos simples e independientes no vinculados a un modelo específico.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Una clase Policy agrupa las reglas de autorización para un modelo — cada método responde "¿puede este usuario realizar esta acción en este modelo?". Esto mantiene la lógica de autorización organizada por recurso.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Los métodos authorize()/can() (y @can en Blade) comprueban la política automáticamente — lanzando un 403 u ocultando la interfaz cuando el usuario no tiene permiso.
La autorización es esencial y crítica para la seguridad — controlar qué acciones están permitidas para usuarios autenticados (no solo si han iniciado sesión) es fundamental para la seguridad de la aplicación, y las políticas y puertas de Laravel proporcionan una forma limpia y organizada de manejarla.
Entender la distinción entre autenticación (quién eres — login) y autorización (qué puedes hacer — permisos) es fundamental, y los fallos de autorización conducen a vulnerabilidades graves (usuarios accediendo o modificando datos que no deberían — el control de acceso roto es un riesgo de seguridad principal).
El sistema de Laravel ofrece dos herramientas complementarias: Puertas para permisos simples e independientes (comprobaciones basadas en cierres), y Políticas — el enfoque común y recomendado — que organizan las reglas de autorización de un modelo en una clase dedicada (p. ej. quién puede actualizar o eliminar un Post), manteniendo la lógica de autorización estructurada y mantenible por recurso.
Entender cómo definir políticas/puertas y aplicarlas ($this->authorize(), $user->can(), @can en Blade — comprobando permisos en controladores, lanzando 403s, y mostrando interfaz condicionalmente) es importante para construir aplicaciones seguras donde los usuarios solo pueden realizar acciones permitidas.
Ya que casi toda aplicación real necesita control de acceso granular (asegurando que los usuarios solo puedan modificar sus propios recursos, restringiendo acciones de administrador, etc.), y ya que equivocarse en autorización crea agujeros de seguridad peligrosos, conocer las políticas y puertas de Laravel — la forma adecuada y organizada de implementar autorización — es conocimiento senior relevante para la seguridad que es esencial para construir aplicaciones que apliquen correctamente quién puede hacer qué, un requisito frecuente y crítico en sistemas reales.