Sistem otorisasi Laravel mengontrol apa yang boleh dilakukan oleh pengguna yang telah terautentikasi (berbeda dari autentikasi — siapa mereka). Gates adalah closure sederhana untuk izin; Policies adalah class yang mengorganisir logika otorisasi di sekitar model tertentu (misalnya siapa yang dapat memperbarui Post).
::(, fn() => ->());
(::()) { ... }
::();
Gates cocok untuk izin sederhana dan mandiri yang tidak terikat pada model tertentu.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Class Policy mengelompokkan aturan otorisasi untuk model — setiap method menjawab "dapatkah user ini melakukan action ini pada model ini?" Ini menjaga logika otorisasi tetap terorganisir per resource.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Method authorize()/can() (dan @can di Blade) memeriksa policy secara otomatis — melempar 403 atau menyembunyikan UI ketika user tidak memiliki izin.
Otorisasi sangat penting dan kritis untuk keamanan — mengontrol apa yang boleh dilakukan pengguna yang telah terautentikasi (bukan hanya apakah mereka login) adalah fondasi keamanan aplikasi, dan policies serta gates Laravel menyediakan cara yang bersih dan terorganisir untuk menanganinya.
Memahami perbedaan antara autentikasi (siapa Anda — login) dan otorisasi (apa yang dapat Anda lakukan — izin) adalah hal mendasar, dan kegagalan otorisasi menyebabkan kerentanan serius (user mengakses atau memodifikasi data yang seharusnya tidak boleh — broken access control adalah risiko keamanan teratas).
Sistem Laravel menawarkan dua alat yang saling melengkapi: Gates untuk izin sederhana dan mandiri (pemeriksaan berbasis closure), dan Policies — pendekatan umum dan direkomendasikan — yang mengorganisir aturan otorisasi model ke dalam class terpisah (misalnya siapa yang dapat memperbarui atau menghapus Post), menjaga logika otorisasi tetap terstruktur dan mudah dipelihara per resource.
Memahami cara mendefinisikan policies/gates dan menerapkannya ($this->authorize(), $user->can(), @can di Blade — memeriksa izin di controller, melempar 403, dan secara kondisional menampilkan UI) penting untuk membangun aplikasi yang aman di mana user hanya dapat melakukan action yang diizinkan.
Karena hampir setiap aplikasi nyata membutuhkan kontrol akses yang granular (memastikan user hanya dapat memodifikasi resource mereka sendiri, membatasi action admin, dll.), dan karena kesalahan otorisasi menciptakan lubang keamanan yang berbahaya, mengetahui policies dan gates Laravel — cara yang tepat dan terorganisir untuk mengimplementasikan otorisasi — adalah pengetahuan senior yang relevan dengan keamanan dan penting untuk membangun aplikasi yang dengan benar menerapkan siapa yang dapat melakukan apa, persyaratan yang sering dan kritis dalam sistem nyata.