Jak działa autoryzacja za pomocą policies i gates?

Question

Accepted Answer

System **autoryzacji** Laravel kontroluje **co uwierzytelniony użytkownik może robić** (różne od autentykacji — *kim* są). **Gates** to proste closure'y do uprawnień; **Policies** to klasy organizujące logikę autoryzacji wokół konkretnego modelu (np. kto może aktualizować Post). ## Gates — proste uprawnienia oparte na closure'ach ```php // define a gate (e.g. in a service provider) Gate::define('edit-settings', fn($user) => $user->isAdmin()); // check it if (Gate::allows('edit-settings')) { ... } Gate::authorize('edit-settings'); // throws a 403 if denied ``` Gates są dobre dla prostych, niezależnych uprawnień niezwiązanych z konkretnym modelem. ## Policies — autoryzacja skoncentrowana na modelu (typowy przypadek) ```php id === $post->user_id; // only the author can update } public function delete(User $user, Post $post): bool { return $user->id === $post->user_id || $user->isAdmin(); } } ``` Klasa **Policy** grupuje reguły autoryzacji dla modelu — każda metoda odpowiada na pytanie "czy ten użytkownik może wykonać tę akcję na tym modelu?". To utrzymuje logikę autoryzacji zorganizowaną dla każdego zasobu. ## Korzystanie z policies ```php // in a controller public function update(Request $request, Post $post) { $this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied // ... proceed (we know the user is authorized) } // the user model if ($request->user()->can('update', $post)) { ... } ``` ```blade {{-- in Blade — show UI only if authorized --}} @can('update', $post) Edit @endcan ``` Metody `authorize()`/`can()` (i `@can` w Blade'zie) automatycznie sprawdzają policy — wyrzucając 403 lub ukrywając interfejs użytkownika, gdy użytkownik nie ma uprawnień. ## Dlaczego to ważne Autoryzacja jest niezbędna i **krytyczna z punktu widzenia bezpieczeństwa** — kontrolowanie tego, co uwierzytelnieni użytkownicy mogą robić (nie tylko czy są zalogowani) jest fundamentem bezpieczeństwa aplikacji, a policies i gates Laravel'a zapewniają czysty, zorganizowany sposób na obsługę tego. Zrozumienie rozróżnienia między **autentykacją** (kim jesteś — login) a **autoryzacją** (co możesz robić — uprawnienia) jest fundamentalne, a błędy autoryzacji prowadzą do poważnych podatności (użytkownicy uzyskują dostęp lub modyfikują dane, do których nie powinni — broken access control to jeden z głównych zagrożeń bezpieczeństwa). System Laravel oferuje dwa uzupełniające się narzędzia: **Gates** dla prostych, niezależnych uprawnień (oparte na closure'ach), oraz **Policies** — typowe, rekomendowane podejście — które organizują reguły autoryzacji modelu w dedykowanej klasie (np. kto może aktualizować lub usuwać Post), utrzymując logikę autoryzacji ustrukturyzowaną i łatwą w utrzymaniu dla każdego zasobu. Zrozumienie, jak definiować policies/gates i je egzekwować (`$this->authorize()`, `$user->can()`, `@can` w Blade'zie — sprawdzanie uprawnień w kontrolerach, wyrzucanie 403, i warunkowe wyświetlanie interfejsu) jest ważne dla budowania bezpiecznych aplikacji, gdzie użytkownicy mogą wykonywać tylko dozwolone akcje. Ponieważ prawie każda rzeczywista aplikacja potrzebuje precyzyjnej kontroli dostępu (zapewnienie, że użytkownicy mogą modyfikować tylko swoje zasoby, ograniczenie akcji administratora itp.), a ponieważ złe wdrożenie autoryzacji tworzy niebezpieczne luki bezpieczeństwa, znajomość policies i gates Laravel'a — właściwego, zorganizowanego sposobu na wdrożenie autoryzacji — jest ważną wiedzą na temat bezpieczeństwa na poziomie senior, która jest niezbędna do budowania aplikacji, które prawidłowo egzekwują kto może robić co, częste i krytyczne wymaganie w rzeczywistych systemach.