Laravel autorizacijos sistema kontroliuoja ką autentifikuotas vartotojas turi teisę daryti (skiriasi nuo autentifikacijos — kas jie yra). Vartai yra paprastos uždaros funkcijos leidimams; Politikos yra klasės, kurios organizuoja autorizacijos logiką aplink specifinį modelį (pvz., kas gali atnaujinti Post).
::(, fn() => ->());
(::()) { ... }
::();
Vartai yra naudingi paprastiems, savarankiškantiems leidimams, nesuriš tiems su specifinu modeliu.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Politika klasė grupuoja modelio autorizacijos taisykles — kiekvienas metodas atsakyja "ar šis vartotojas gali atlikti šį veiksmą šiame modelyje?" Tai išlaiko autorizacijos logiką organizuotą pagal išteklių.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Mechanizmai authorize()/can() (ir @can Blade šablone) automatiškai patikrina politiką — metus 403 arba slėpdami UI, kai vartotojui neleista.
Autorizacija yra esminė ir kritinė saugumui — kontroliuoti, ką autentifikuoti vartotojai turi teisę daryti (ne tik ar jie prisijungę), yra pagrindinė programos saugumo dalis, ir Laravel politikos bei vartai teikia švarų, organizuotą būdą tai valdyti.
Supratimas apie skirtumą tarp autentifikacijos (kas tu esi — prisijungimas) ir autorizacijos (ką tu gali daryti — leidimai) yra pagrindinė žinia, o autorizacijos nepavyzdžiai veda į rimtus saugumo trūkumus (vartotojai pasiekia arba modifikuoja duomenis, kuriuos jie neturėtų — sulaužyta prieigos kontrolė yra vienas iš pagrindinių saugumo rizikų).
Laravel sistema siūlo du komplementarius įrankius: Vartus paprastiems, savarankiams leidimams (uždaromis funkcijomis grindžiami patikra) ir Politikos — bendras, rekomenduojamas prieiga — kurie organizuoja modelio autorizacijos taisykles į dedikuotą klasę (pvz., kas gali atnaujinti arba ištrinti Post), išlaikant autorizacijos logiką struktūrizuotą ir lengvai prižiūrimą pagal išteklių.
Supratimas, kaip apibrėžti politikas/vartus ir jas taikyti ($this->authorize(), $user->can(), @can Blade šablone — leidimu patikrinimas valdikliuose, 403 metimas, ir sąlyginis UI rodymimas) yra svarbu saugioms programoms sukurti, kur vartotojai gali atlikti tik leistus veiksmus.
Bei kad beveik kiekviena tikra programa reikalauja smulkios prieigos kontrolės (užtikrinant, kad vartotojai gali modifikuoti tik savo išteklius, ribojant admin veiksmus ir pan.), ir kadangi netinkama autorizacija kuria pavojingus saugumo spragus, žinojimas apie Laravel politikas ir vartus — tinkamą, organizuotą autorizacijos įgyvendinimo būdą — yra svarbi saugumo susijusi vyresniojo lygio žinia, kuri yra esminė saugiai kurioms programoms, kurios tinkamai vykdo, kas gali daryti ką, dažnas ir kritinis reikalavimas tikrose sistemose.