Laravelov sustav autorizacije kontrolira što autentificirani korisnik smije učiniti (različito od autentifikacije — tko su oni). Vrata (Gates) su jednostavni closuresi za dozvole; Pravila (Policies) su klase koje organiziraju logiku autorizacije oko specifičnog modela (npr. tko može ažurirati Post).
::(, fn() => ->());
(::()) { ... }
::();
Vrata su dobra za jednostavne, samostalne dozvole koje nisu vezane uz specifičan model.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Klasa Policy grupizirane pravila autorizacije za model — svaka metoda odgovara "može li ovaj korisnik obaviti ovu akciju na ovom modelu?" To čini logiku autorizacije organiziranom po resursu.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Metode authorize()/can() (i @can u Blade-u) automatski provjeravaju pravilo — bacajući 403 ili skrivajući UI kada korisnik nije ovlašten.
Autorizacija je bitna i kritična za sigurnost — kontroliranje što autentificirani korisnici smiju učiniti (ne samo jesu li prijavljeni) je temeljna za sigurnost aplikacije, a Laravelov sustav pravila i vrata pruža čist, organiziran način za rukovanje time.
Razumijevanje razlike između autentifikacije (tko si — prijava) i autorizacije (što možeš — dozvole) je temeljno, a neuspješna autorizacija dovodi do ozbiljnih ranjivosti (korisnici pristupaju ili mijenjaju podatke koje ne bi trebali — slomljena kontrola pristupa je čest sigurnosni rizik).
Laravelov sustav nudi dva komplementarna alata: Vrata (Gates) za jednostavne, samostalne dozvole (closure-bazne provjere), i Pravila (Policies) — česti, preporučeni pristup — koja organiziraju pravila autorizacije modela u namensku klasu (npr. tko može ažurirati ili obrisati Post), čineći logiku autorizacije strukturiranom i održivom po resursu.
Razumijevanje kako definirati pravila/vrata i provesti ih ($this->authorize(), $user->can(), @can u Blade-u — provjeravanjem dozvola u kontrolerima, bacanjem 403-ice, i uvjetnim prikazom UI-ja) je važno za izgradnju sigurnih aplikacija gdje korisnici mogu obaviti samo dozvoljene akcije.
Budući da gotovo svaka pravi aplikacija trebá detaljnu kontrolu pristupa (osiguravanje da korisnici mogu mijenjati samo svoje resurse, ograničavanje admin akcija, itd.), i budući da loša autorizacija stvara opasne sigurnosne rupe, poznavanje Laravelovog sustava pravila i vrata — pravilnog, organiziranog načina za implementaciju autorizacije — je važno sigurnosno relevantno seniorsko znanje koje je bitno za izgradnju aplikacija koje ispravno provode tko smije učiniti što, čest i kritičan zahtjev u pravim sustavima.