Het autorisatiesysteem van Laravel bepaalt wat een geverifieerde gebruiker mag doen (anders dan authenticatie — wie zij zijn). Gates zijn eenvoudige closures voor machtigingen; Policies zijn klassen die autorisatielogica rond een specifiek model organiseren (bijv. wie mag een Post bijwerken).
::(, fn() => ->());
(::()) { ... }
::();
Gates zijn geschikt voor eenvoudige, zelfstandige machtigingen die niet aan een specifiek model zijn gekoppeld.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Een Policy-klasse groepeert de autorisatieregels voor een model — elke methode beantwoordt "kan deze gebruiker deze actie op dit model uitvoeren?" Dit houdt de autorisatielogica georganiseerd per resource.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
De methoden authorize()/can() (en @can in Blade) controleren de policy automatisch — gooien een 403 of verbergen UI wanneer de gebruiker geen toestemming heeft.
Autorisatie is essentieel en beveiligingskritisch — bepalen wat geverifieerde gebruikers mogen doen (niet alleen of zij ingelogd zijn) is fundamenteel voor de beveiliging van toepassingen, en Laravel's policies en gates bieden een schone, georganiseerde manier om het af te handelen.
Het onderscheid begrijpen tussen authenticatie (wie je bent — inloggen) en autorisatie (wat je kunt doen — machtigingen) is fundamenteel, en autorisatiefouten leiden tot ernstige beveiligingsproblemen (gebruikers die gegevens benaderen of wijzigen die zij niet zouden mogen — broken access control is een topbeveiligingsrisico).
Het systeem van Laravel biedt twee complementaire tools: Gates voor eenvoudige, zelfstandige machtigingen (closure-gebaseerde controles), en Policies — de gebruikelijke, aanbevolen aanpak — die de autorisatieregels van een model in een speciale klasse organiseren (bijv. wie mag een Post bijwerken of verwijderen), wat de autorisatielogica per resource gestructureerd en onderhoudbaar houdt.
Begrijpen hoe je policies/gates definieert en afdwingt ($this->authorize(), $user->can(), @can in Blade — machtigingen controleren in controllers, 403s gooien, en UI voorwaardelijk weergeven) is belangrijk voor het bouwen van veilige toepassingen waarbij gebruikers alleen toegestane acties kunnen uitvoeren.
Omdat vrijwel elke echte toepassing fijnmazige toegangscontrole nodig heeft (ervoor zorgen dat gebruikers alleen hun eigen resources kunnen wijzigen, beheeracties beperken, enz.), en omdat autorisatie fout afhandelen gevaarlijke beveiligingsgaten creëert, is het kennen van Laravel's policies en gates — de juiste, georganiseerde manier om autorisatie te implementeren — belangrijke beveiligingsrelevante senior knowledge die essentieel is voor het bouwen van toepassingen die correct afdwingen wie wat mag doen, een veelvoorkomende en kritieke vereiste in echte systemen.