Laravel चे ऑथोराइजेशन सिस्टम नियंत्रण करते प्रमाणित वापरकर्ता काय करण्यास परवानगी आहे (ऑथेंटिकेशनपेक्षा वेगळे — कोण आहे). गेट्स हे परमिशनसाठी सोपे क्लोजर आहेत; पॉलिसी हे विशिष्ट मॉडेलच्या आसपास ऑथोराइजेशन लॉजिकला संघटित करणारे वर्ग आहेत (उदा. कोण Post अपडेट करू शकतो).
::(, fn() => ->());
(::()) { ... }
::();
गेट्स सरल, विशिष्ट मॉडेलशी जोडलेल्या नसलेल्या स्वतंत्र परमिशनसाठी चांगले आहेत.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
एक पॉलिसी क्लास मॉडेलसाठी ऑथोराइजेशन नियम गटबद्ध करते — प्रत्येक पद्धत उत्तर देते "या वापरकर्त्याला या मॉडेलवर हे कृत्य करण्यास परवानगी आहे?". यामुळे ऑथोराइजेशन लॉजिक संसाधन प्रति संघटित राहते.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() पद्धती (आणि Blade मध्ये @can) पॉलिसी स्वयंचलितपणे तपास करतात — जेव्हा वापरकर्त्याला परवानगी नाही तेव्हा 403 फेकतात किंवा UI लपवतात.
ऑथोराइजेशन अत्यावश्यक आणि सुरक्षा-महत्वाचे आहे — प्रमाणित वापरकर्त्यांना काय करण्यास परवानगी आहे (फक्त लॉग इन आहेत की नाही) हे अनुप्रयोग सुरक्षेसाठी मूलभूत आहे, आणि Laravel ची पॉलिसी आणि गेट्स यातून हाताळण्यासाठी स्वच्छ, संघटित मार्ग प्रदान करतात.
ऑथेंटिकेशन (तुम्ही कोण आहात — लॉगिन) आणि ऑथोराइजेशन (तुम्ही काय करू शकता — परमिशन) यातील फरक समजून घेणे हे मूलभूत आहे, आणि ऑथोराइजेशन अपयश गंभीर असुरक्षितता घडवते (वापरकर्ते डेटा अॅक्सेस किंवा संपादित करतात जे त्यांना नको — तोडलेली एक्सेस कंट्रोल एक शीर्ष सुरक्षा जोखीम आहे).
Laravel चे सिस्टम दोन पूरक साधने प्रदान करते: गेट्स साधे, स्वतंत्र परमिशनसाठी (क्लोजर-आधारित तपास), आणि पॉलिसी — सामान्य, शिफारस केलेली दृष्टिकोन — जी मॉडेलचे ऑथोराइजेशन नियम समर्पित क्लासमध्ये संघटित करतात (उदा. कोण Post अपडेट किंवा हटवू शकतो), संसाधन प्रति ऑथोराइजेशन लॉजिक संरचित आणि राखरखाव करणीय ठेवते.
पॉलिसी/गेट्स कसे परिभाषित करायचे आणि त्यांची अंमलबजावणी कसे करायची ($this->authorize(), $user->can(), Blade मध्ये @can — नियंत्रकांमध्ये परमिशन तपासणे, 403 फेकणे, आणि सशर्तपणे UI दर्शविणे) समजून घेणे हे सुरक्षित अनुप्रयोग तयार करण्यासाठी महत्वाचे आहे जेथे वापरकर्ते फक्त परवानगीप्राप्त कृती करू शकतात.
जवळजवळ प्रत्येक वास्तविक अनुप्रयोगाला सूक्ष्म-धान्याचे अॅक्सेस नियंत्रण आवश्यक असल्याने (वापरकर्ते फक्त त्यांचे स्वतःचे संसाधन संपादित करू शकतात, प्रशासक कृती प्रतिबंधित करतात, इ.), आणि जेव्हा ऑथोराइजेशन चुकीचे असते तेव्हा धोकादायक सुरक्षा भेद तयार होतात, Laravel ची पॉलिसी आणि गेट्स जाणून घेणे — ऑथोराइजेशन लागू करण्याचा उचित, संघटित मार्ग — हा महत्वाचा सुरक्षा-प्रासंगिक सिनिअर ज्ञान आहे जो अनुप्रयोग तयार करण्यासाठी अत्यावश्यक आहे जो योग्यरित्या लागू करतो कोण काय करू शकतो, वास्तविक प्रणालीमध्ये वारंवार आणि गंभीर आवश्यकता.