Laravels autorisasjon-system kontrollerer hva en autentisert bruker har tillatelse til å gjøre (forskjellig fra autentisering — hvem de er). Porter er enkle lukkinger for tillatelser; Retningslinjer er klasser som organiserer autorisasjonslogikk rundt en spesifikk modell (f.eks. hvem som kan oppdatere et Post).
::(, fn() => ->());
(::()) { ... }
::();
Porter er bra for enkle, frittstående tillatelser som ikke er knyttet til en spesifikk modell.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
En Retningslinje-klasse grupperer autorisasjonsreglene for en modell — hver metode svarer på "kan denne brukeren utføre denne handlingen på denne modellen?" Dette holder autorisasjonslogikken organisert per ressurs.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Metodene authorize()/can() (og @can i Blade) sjekker retningslinjen automatisk — kaster en 403 eller skjuler UI når brukeren ikke har tillatelse.
Autorisasjon er essensielt og sikkerhetsritisk — å kontrollere hva autentiserte brukere har tillatelse til å gjøre (ikke bare om de er logget inn) er grunnleggende for applikasjonsikkerhet, og Laravels retningslinjer og porter gir en ren, organisert måte å håndtere det på.
Å forstå skillet mellom autentisering (hvem du er — login) og autorisasjon (hva du kan gjøre — tillatelser) er grunnleggende, og autorisasjonsfeil fører til alvorlige sårbarheter (brukere får tilgang til eller endrer data de ikke burde — brukket tilgangskontroll er en topprisiko for sikkerhet).
Laravels system tilbyr to komplementære verktøy: Porter for enkle, frittstående tillatelser (lukningsbaserte kontroller), og Retningslinjer — den vanlige, anbefalte tilnærmingen — som organiserer en modells autorisasjonsregler i en dedikert klasse (f.eks. hvem som kan oppdatere eller slette et Post), noe som holder autorisasjonslogikken strukturert og vedlikeholdbar per ressurs.
Å forstå hvordan man definerer retningslinjer/porter og håndhever dem ($this->authorize(), $user->can(), @can i Blade — sjekk tillatelser i kontrollere, kast 403-er, og betinget vis UI) er viktig for å bygge sikre applikasjoner hvor brukere bare kan utføre tillatte handlinger.
Siden nesten alle virkelige applikasjoner trenger finkornet tilgangskontroll (sikrer at brukere kun kan endre sine egne ressurser, begrenser admin-handlinger, osv.), og siden feil autorisasjon skaper farlige sikkerhetshull, å kjenne Laravels retningslinjer og porter — den korrekte, organiserte måten å implementere autorisasjon på — er viktig sikkerhetsrelevant senior-kunnskap som er essensielt for å bygge applikasjoner som korrekt håndhever hvem som kan gjøre hva, et hyppig og kritisk krav i virkelige systemer.