Il sistema di autorizzazione di Laravel controlla cosa è permesso fare a un utente autenticato (distinto dall'autenticazione — chi sei). I Gates sono semplici closure per i permessi; le Policies sono classi che organizzano la logica di autorizzazione attorno a un modello specifico (ad es. chi può aggiornare un Post).
::(, fn() => ->());
(::()) { ... }
::();
I Gates sono utili per permessi semplici e standalone non legati a un modello specifico.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Una classe Policy raggruppa le regole di autorizzazione per un modello — ogni metodo risponde a "questo utente può eseguire questa azione su questo modello?". Questo mantiene la logica di autorizzazione organizzata per risorsa.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
I metodi authorize()/can() (e @can in Blade) controllano la policy automaticamente — lanciando un 403 o nascondendo l'interfaccia quando l'utente non è autorizzato.
L'autorizzazione è essenziale e critica per la sicurezza — controllare cosa è permesso fare agli utenti autenticati (non solo se sono collegati) è fondamentale per la sicurezza dell'applicazione, e le policies e i gates di Laravel forniscono un modo pulito e organizzato per gestirlo.
Comprendere la distinzione tra autenticazione (chi sei — login) e autorizzazione (cosa puoi fare — permessi) è fondamentale, e i fallimenti di autorizzazione portano a vulnerabilità gravi (utenti che accedono o modificano dati che non dovrebbero — il broken access control è un rischio di sicurezza tra i primi).
Il sistema di Laravel offre due strumenti complementari: i Gates per permessi semplici e standalone (controlli basati su closure), e le Policies — l'approccio comune e consigliato — che organizzano le regole di autorizzazione di un modello in una classe dedicata (ad es. chi può aggiornare o eliminare un Post), mantenendo la logica di autorizzazione strutturata e mantenibile per risorsa.
Comprendere come definire policies/gates e applicarli ($this->authorize(), $user->can(), @can in Blade — controllare i permessi nei controller, lanciare 403s e mostrare condizionatamente l'interfaccia) è importante per costruire applicazioni sicure dove gli utenti possono solo eseguire azioni consentite.
Poiché quasi tutte le applicazioni reali hanno bisogno di un controllo di accesso granulare (assicurando che gli utenti possano solo modificare le loro risorse, limitando le azioni di amministrazione, ecc.), e poiché sbagliare l'autorizzazione crea buchi di sicurezza pericolosi, conoscere le policies e i gates di Laravel — il modo appropriato e organizzato per implementare l'autorizzazione — è una conoscenza importante e rilevante per la sicurezza a livello senior che è essenziale per costruire applicazioni che correttamente applicano chi può fare cosa, un requisito frequente e critico nei sistemi reali.