Laravel ਦਾ authorization ਸਿਸਟਮ ਨਿਯੰਤਰਣ ਕਰਦਾ ਹੈ ਕਿ ਇੱਕ ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗੀ ਕੀ ਕਰ ਸਕਦਾ ਹੈ (authentication ਤੋਂ ਵੱਖ — ਉਹ ਕੌਣ ਹਨ)। Gates ਅਨੁਮਤੀਆਂ ਲਈ ਸਾਧਾਰਣ closures ਹਨ; Policies ਕਲਾਸਾਂ ਹਨ ਜੋ ਇੱਕ ਖਾਸ ਮਾਡਲ ਦੇ ਦੁਆਲੇ authorization logic ਨੂੰ ਸੰਗਠਿਤ ਕਰਦੀਆਂ ਹਨ (ਜਿਵੇਂ ਕੌਣ Post ਨੂੰ ਅੱਪਡੇਟ ਕਰ ਸਕਦਾ ਹੈ)।
::(, fn() => ->());
(::()) { ... }
::();
Gates ਸਧਾਰਨ, ਆਜ਼ਾਦ ਅਨੁਮਤੀਆਂ ਲਈ ਚੰਗੇ ਹਨ ਜੋ ਕਿਸੇ ਖਾਸ ਮਾਡਲ ਨਾਲ ਬੰਨ੍ਹੀਆਂ ਨਹੀਂ ਹੁੰਦੀਆਂ।
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
ਇੱਕ Policy ਕਲਾਸ ਇੱਕ ਮਾਡਲ ਲਈ authorization ਨਿਯਮਾਂ ਨੂੰ ਗਰੁੱਪ ਕਰਦੀ ਹੈ — ਹਰੇਕ ਤਰੀਕਾ ਜਵਾਬ ਦਿੰਦਾ ਹੈ "ਕੀ ਇਹ ਉਪਭੋਗੀ ਇਸ ਮਾਡਲ ਉੱਪਰ ਇਹ ਕਾਰਵਾਈ ਕਰ ਸਕਦਾ ਹੈ?" ਇਹ authorization logic ਨੂੰ ਪ੍ਰਤੀ ਸਰੋਤ ਸੰਗਠਿਤ ਰੱਖਦਾ ਹੈ।
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() ਤਰੀਕੇ (ਅਤੇ Blade ਵਿੱਚ @can) policy ਨੂੰ ਸਵੈਚਲਿਤ ਤੌਰ ਤੇ ਚੈਕ ਕਰਦੇ ਹਨ — ਜਦੋਂ ਉਪਭੋਗੀ ਨੂੰ ਅਨੁਮਤੀ ਨਹੀਂ ਹੁੰਦੀ ਤਾਂ 403 ਸੁੱਟਦੇ ਹਨ ਜਾਂ UI ਨੂੰ ਲੁਕਾਉਂਦੇ ਹਨ।
Authorization ਜ਼ਰੂਰੀ ਹੈ ਅਤੇ ਸੁਰੱਖਿਆ-ਨਾਜ਼ੁਕ ਹੈ — ਪ੍ਰਮਾਣਿਤ ਉਪਭੋਗੀਆਂ ਨੂੰ ਕੀ ਕਰਨ ਦੀ ਅਨੁਮਤੀ ਹੈ (ਸਿਰਫ ਇਹ ਨਹੀਂ ਕਿ ਉਹ ਲੌਗ ਇਨ ਹਨ) ਆਵੇਦਨ ਦੀ ਸੁਰੱਖਿਆ ਲਈ ਬੁਨਿਆਦੀ ਹੈ, ਅਤੇ Laravel ਦੀਆਂ policies ਅਤੇ gates ਇਸਨੂੰ ਸਾਫ, ਸੰਗਠਿਤ ਤਰੀਕੇ ਨਾਲ ਸੰਭਾਲਣ ਦਾ ਤਰੀਕਾ ਪ੍ਰਦਾਨ ਕਰਦੀਆਂ ਹਨ।
Authentication (ਤੁਸੀਂ ਕੌਣ ਹੋ — login) ਅਤੇ authorization (ਤੁਸੀਂ ਕੀ ਕਰ ਸਕਦੇ ਹੋ — ਅਨੁਮਤੀਆਂ) ਵਿਚਕਾਰ ਅੰਤਰ ਨੂੰ ਸਮਝਣਾ ਬੁਨਿਆਦੀ ਹੈ, ਅਤੇ authorization ਅਸਫਲਤਾਈਆਂ ਗਗੰਭੀਰ ਕमजોরੀਆਂ ਵੱਲ ਲਿਜਾਂਦੀਆਂ ਹਨ (ਉਪਭੋਗੀ ਇਹ ਡਾਟਾ ਤੱਕ ਪਹੁੰਚ ਜਾਂ ਸੋਧ ਕਰਦੇ ਹਨ ਜੋ ਉਹਨਾਂ ਨੂੰ ਨਹੀਂ ਕਰਨਾ ਚਾਹੀਦਾ — broken access control ਇੱਕ ਸ਼ੀਰਸ਼ ਸੁਰੱਖਿਆ ਖਤਰਾ ਹੈ)।
Laravel ਦਾ ਸਿਸਟਮ ਦੋ ਪੂਰਕ ਟੂਲ ਪੇਸ਼ ਕਰਦਾ ਹੈ: Gates ਸਾਧਾਰਣ, ਆਜ਼ਾਦ ਅਨੁਮਤੀਆਂ ਲਈ (closure-based ਚੈਕਸ), ਅਤੇ Policies — ਆਮ, ਸਿਫਾਰਸ਼ ਕੀਤਾ ਤਰੀਕਾ — ਜੋ ਮਾਡਲ ਦੇ authorization ਨਿਯਮਾਂ ਨੂੰ ਇੱਕ ਸਮਰਪਿਤ ਕਲਾਸ ਵਿੱਚ ਸੰਗਠਿਤ ਕਰਦੇ ਹਨ (ਜਿਵੇਂ ਕੌਣ Post ਨੂੰ ਅੱਪਡੇਟ ਜਾਂ ਮਿਟਾ ਸਕਦਾ ਹੈ), authorization logic ਨੂੰ ਪ੍ਰਤੀ ਸਰੋਤ ਸੰਰਚਿਤ ਅਤੇ ਗQliধਾਰਣੀ ਰੱਖਦੇ ਹਨ।
ਸਮਝਣਾ ਕਿ ਪਾਲਿਸੀਆਂ/ਗੇਟਸ ਨੂੰ ਕਿਵੇਂ ਪਰਿਭਾਸ਼ਿਤ ਕਰਨਾ ਹੈ ਅਤੇ ਉਹਨਾਂ ਨੂੰ ਲਾਗੂ ਕਰਨਾ ਹੈ ($this->authorize(), $user->can(), Blade ਵਿੱਚ @can — ਕੰਟਰੋਲਰਾਂ ਵਿੱਚ ਅਨੁਮਤੀਆਂ ਦੀ ਜਾਂਚ ਕਰਨਾ, 403 ਸੁੱਟਣਾ, ਅਤੇ ਸ਼ਰਤੀ ਤੌਰ ਤੇ UI ਦਿਖਾਉਣਾ) ਸੁਰੱਖਿਤ ਆਵੇਦਨਾਂ ਬਣਾਉਣ ਲਈ ਮਹੱਤਵਪੂਰਨ ਹੈ ਜਿੱਥੇ ਉਪਭੋਗੀ ਸਿਰਫ ਅਨੁਮਤੀ ਵਾਲੀ ਕ੍ਰਿਆਵਾਂ ਕਰ ਸਕਦੇ ਹਨ।
ਕਿਉਂਕਿ ਲਗਭਗ ਹਰ ਅਸਲ ਐਪਲੀਕੇਸ਼ਨ ਨੂੰ ਵਿਸਥਾਰਵਾਰ ਐਕਸੈਸ ਕੰਟਰੋਲ ਦੀ ਲੋੜ ਹੁੰਦੀ ਹੈ (ਯਕੀਨੀ ਬਣਾਉਂਦੇ ਹੋ ਕਿ ਉਪਭੋਗੀ ਸਿਰਫ ਆਪਣੇ ਸਰੋਤਾਂ ਨੂੰ ਸੋਧ ਸਕਦੇ ਹਨ, ਐਡਮਿਨ ਕ੍ਰਿਆਵਾਂ ਨੂੰ ਸੀਮਿਤ ਕਰਨਾ, ਆਦਿ), ਅਤੇ ਕਿਉਂਕਿ authorization ਵਿੱਚ ਗਲਤੀ ਖਤਰਨਾਕ ਸੁਰੱਖਿਆ ਛੇਦਾਂ ਸਿਰਜਦੀ ਹੈ, Laravel ਦੀਆਂ policies ਅਤੇ gates ਨੂੰ ਜਾਣਨਾ — authorization ਨੂੰ ਲਾਗੂ ਕਰਨ ਦਾ ਸਹੀ, ਸੰਗਠਿਤ ਤਰੀਕਾ — ਮਹੱਤਵਪੂਰਨ ਸਿਨੀਅਰ ਸੁਰੱਖਿਆ-ਸਬੰਧਤ ਗਿਆਨ ਹੈ ਜੋ ਉਹਨਾਂ ਐਪਲੀਕੇਸ਼ਨਾਂ ਨੂੰ ਬਣਾਉਣ ਲਈ ਜ਼ਰੂਰੀ ਹੈ ਜੋ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਯਕੀਨੀ ਬਣਾਏ ਕਿ ਕੌਣ ਕੀ ਕਰ ਸਕਦਾ ਹੈ, ਅਸਲ ਸਿਸਟਮਾਂ ਵਿੱਚ ਇੱਕ ਅਕਸਰ ਅਤੇ ਮੁਲਾਂਕਣ ਸਬੰਧੀ ਲੋੜ।