अनुमति नीतिहरु र गेटहरु सहितको अधिकार कसरी काम गर्छ?

Question

Accepted Answer

Laravel को **अधिकार** प्रणाली **प्रमाणित प्रयोगकर्ता के गर्न अनुमति छ भनेर नियन्त्रण गर्छ** (प्रमाणीकरण भन्दा फरक — *तिनीहरु को हुन्*)। **Gates** अनुमतिहरुको लागि साधारण बन्द गर्न सकिने फलनहरु हुन्; **Policies** एक विशेष मोडेलको चारपास अधिकार तर्क को आयोजन गर्ने वर्ग हुन् (जस्तै पोस्ट को अपडेट गर्न सक्ने को)। ## Gates — सरल, बन्द गर्न सकिने आधारित अनुमतिहरु ```php // define a gate (e.g. in a service provider) Gate::define('edit-settings', fn($user) => $user->isAdmin()); // check it if (Gate::allows('edit-settings')) { ... } Gate::authorize('edit-settings'); // throws a 403 if denied ``` Gates साधारण, स्टेन्डअलोन अनुमतिहरुको लागि राम्रो हुन्छन् जो विशेष मोडेलसँग जोडिएको छैन। ## Policies — मोडेल-केन्द्रित अधिकार (सामान्य केस) ```php id === $post->user_id; // only the author can update } public function delete(User $user, Post $post): bool { return $user->id === $post->user_id || $user->isAdmin(); } } ``` A **Policy** वर्ग मोडेलको लागि अधिकार नियमहरु को समूह गर्छ — प्रत्येक विधि "के यो प्रयोगकर्ता यो कार्य यो मोडेलमा गर्न सक्छ?" भनेर जवाफ दिन्छ। यो अधिकार तर्क को प्रति स्रोत को संगठित राख्छ। ## नीति प्रयोग गर्दै ```php // in a controller public function update(Request $request, Post $post) { $this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied // ... proceed (we know the user is authorized) } // the user model if ($request->user()->can('update', $post)) { ... } ``` ```blade {{-- in Blade — show UI only if authorized --}} @can('update', $post) Edit @endcan ``` `authorize()`/`can()` विधिहरु (र Blade मा `@can`) स्वचालित रूपमा नीति जांच गर्छन् — 403 फ्याँक्दै वा जब प्रयोगकर्ता अनुमति प्राप्त छैन तब UI लुकाउदै। ## यो किन महत्वपूर्ण छ अधिकार आवश्यक र **सुरक्षा-गंभीर** छ — प्रमाणित प्रयोगकर्ता लाई के गर्न अनुमति छ भनेर नियन्त्रण गर्नु (सिर्फ तिनीहरु लग इन छन् भनेर होइन) आवेदन सुरक्षा को लागि मौलिक छ, र Laravel को नीति र गेटहरु यो सम्हाल्न को लागि स्वच्छ, संगठित तरिका प्रदान गर्छन्। **प्रमाणीकरण** (तपाई को हुनु — लग इन) र **अधिकार** (तपाई के गर्न सक्नु हुन्छ — अनुमतिहरु) को बीचको भेद बुझ्नु मौलिक छ, र अधिकार विफलता गम्भीर कमजोरीहरुको कारण बन्छन् (प्रयोगकर्ता लाई पहुँच गरिरहेका वा डेटा परिमार्जन गरिरहेका जुन तिनीहरु गर्नु हुँदैन — टुट्टा पहुँच नियन्त्रण शीर्ष सुरक्षा जोखिम हो)। Laravel को प्रणाली दुई पूरक उपकरण प्रदान गर्छ: **Gates** साधारण, स्टेन्डअलोन अनुमतिहरु को लागि (बन्द गर्न सकिने आधारित जांच), र **Policies** — सामान्य, सिफारिस गरिएको दृष्टिकोण — जो मोडेल को अधिकार नियमहरु एक समर्पित वर्गमा संगठित गर्छन् (जस्तै पोस्ट को अपडेट गर्न वा मेट्न सक्ने को), प्रति स्रोत को अधिकार तर्क संरचनात्मक र रक्षणीय राख्दै। नीति/गेटहरु कसरी परिभाषित गर्ने र लागू गर्ने (`$this->authorize()`, `$user->can()`, Blade मा `@can` — नियन्त्रक मा अनुमतिहरु जांच गर्दै, 403 हरु फ्याँक्दै, र सशर्त रूपमा UI प्रदर्शन गर्दै) बुझ्नु सुरक्षित आवेदन निर्माण को लागि महत्वपूर्ण छ जहाँ प्रयोगकर्ता सिर्फ अनुमति प्राप्त कार्य गर्न सक्छन्। लगभग प्रत्येक वास्तविक आवेदन को लागि सूक्ष्म पहुँच नियन्त्रण आवश्यक छ (प्रयोगकर्ता लाई सिर्फ आफ्नो स्रोत परिमार्जन गर्न सकने, व्यवस्थापक कार्य सीमित गर्दै, आदि), र अधिकार गलत तरिकले खतरनाक सुरक्षा होलहरु सिर्जना गर्ने भएकोले, Laravel को नीति र गेटहरु जान्नु — अधिकार लागू गर्न को उचित, संगठित तरिका — महत्वपूर्ण सुरक्षा-सम्बन्धित वरिष्ठ ज्ञान हो जो आवेदन सही तरिकले कि को के गर्न सक्छ भनेर लागू गर्न को लागि आवश्यक छ, वास्तविक प्रणाली मा बारम्बार र महत्वपूर्ण आवश्यकता हो।