Laravel का authorization system नियंत्रित करता है कि एक authenticated उपयोगकर्ता को क्या करने की अनुमति है (authentication से अलग — वे कौन हैं)। Gates permissions के लिए सरल closures हैं; Policies ऐसी classes हैं जो किसी विशिष्ट model के इर्द-गिर्द authorization logic को व्यवस्थित करती हैं (जैसे कौन Post को update कर सकता है)।
::(, fn() => ->());
(::()) { ... }
::();
Gates उन सरल, स्वतंत्र permissions के लिए अच्छे हैं जो किसी विशिष्ट model से बंधी नहीं होतीं।
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
एक Policy class किसी model के authorization नियमों को समूहित करती है — प्रत्येक method इस प्रश्न का उत्तर देता है "क्या यह उपयोगकर्ता इस model पर यह action कर सकता है?" यह authorization logic को प्रति resource व्यवस्थित रखता है।
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() methods (और Blade में @can) policy को स्वचालित रूप से check करते हैं — जब उपयोगकर्ता को अनुमति न हो तो 403 throw करते हैं या UI छिपा देते हैं।
Authorization आवश्यक और security-critical है — यह नियंत्रित करना कि authenticated उपयोगकर्ताओं को क्या करने की अनुमति है (न कि केवल यह कि वे logged in हैं या नहीं) application security के लिए मौलिक है, और Laravel की policies तथा gates इसे संभालने का एक साफ़, व्यवस्थित तरीका प्रदान करती हैं।
authentication (आप कौन हैं — login) और authorization (आप क्या कर सकते हैं — permissions) के बीच अंतर को समझना मौलिक है, और authorization विफलताएँ गंभीर vulnerabilities की ओर ले जाती हैं (उपयोगकर्ता ऐसे data तक पहुँचते या उसे संशोधित करते हैं जो उन्हें नहीं करना चाहिए — broken access control एक शीर्ष security जोखिम है)।
Laravel का system दो पूरक tools प्रदान करता है: सरल, स्वतंत्र permissions (closure-based checks) के लिए Gates, और Policies — आम, अनुशंसित दृष्टिकोण — जो किसी model के authorization नियमों को एक समर्पित class में व्यवस्थित करती हैं (जैसे कौन Post को update या delete कर सकता है), authorization logic को प्रति resource संरचित और maintainable रखते हुए।
policies/gates को कैसे define करें और उन्हें कैसे enforce करें ($this->authorize(), $user->can(), Blade में @can — controllers में permissions check करना, 403s throw करना, और conditionally UI दिखाना) समझना ऐसी secure applications बनाने के लिए महत्वपूर्ण है जहाँ उपयोगकर्ता केवल अनुमत actions ही कर सकें।
चूँकि लगभग हर वास्तविक application को fine-grained access control की ज़रूरत होती है (यह सुनिश्चित करना कि उपयोगकर्ता केवल अपने ही resources संशोधित कर सकें, admin actions को प्रतिबंधित करना, आदि), और चूँकि authorization को गलत करना खतरनाक security छेद बनाता है, Laravel की policies और gates जानना — authorization लागू करने का उचित, व्यवस्थित तरीका — महत्वपूर्ण security-relevant senior ज्ञान है जो ऐसी applications बनाने के लिए आवश्यक है जो सही ढंग से लागू करती हैं कि कौन क्या कर सकता है, जो वास्तविक systems में एक बार-बार और महत्वपूर्ण आवश्यकता है।