O sistema de autorização do Laravel controla o que um usuário autenticado tem permissão para fazer (diferente de autenticação — quem ele é). Gates são closures simples para permissões; Políticas são classes que organizam a lógica de autorização em torno de um modelo específico (por exemplo, quem pode atualizar um Post).
::(, fn() => ->());
(::()) { ... }
::();
Gates são bons para permissões simples e independentes não vinculadas a um modelo específico.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Uma classe Policy agrupa as regras de autorização de um modelo — cada método responde "este usuário pode realizar esta ação neste modelo?" Isso mantém a lógica de autorização organizada por recurso.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Os métodos authorize()/can() (e @can no Blade) verificam a política automaticamente — lançando um 403 ou ocultando a UI quando o usuário não tem permissão.
Autorização é essencial e crítica de segurança — controlar o que usuários autenticados têm permissão para fazer (não apenas se estão conectados) é fundamental para a segurança da aplicação, e as políticas e gates do Laravel fornecem uma forma limpa e organizada de lidar com isso.
Compreender a distinção entre autenticação (quem você é — login) e autorização (o que você pode fazer — permissões) é fundamental, e falhas de autorização levam a vulnerabilidades sérias (usuários acessando ou modificando dados que não deveriam — controle de acesso quebrado é um risco de segurança de topo).
O sistema do Laravel oferece duas ferramentas complementares: Gates para permissões simples e independentes (verificações baseadas em closure), e Políticas — a abordagem comum e recomendada — que organizam as regras de autorização de um modelo em uma classe dedicada (por exemplo, quem pode atualizar ou deletar um Post), mantendo a lógica de autorização estruturada e mantível por recurso.
Compreender como definir políticas/gates e aplicá-las ($this->authorize(), $user->can(), @can no Blade — verificando permissões em controllers, lançando 403s e mostrando UI condicionalmente) é importante para construir aplicações seguras onde usuários só podem realizar ações permitidas.
Como quase toda aplicação real precisa de controle de acesso refinado (garantindo que usuários só possam modificar seus próprios recursos, restringindo ações de admin, etc.), e como errar em autorização cria buracos de segurança perigosos, conhecer as políticas e gates do Laravel — a forma adequada e organizada de implementar autorização — é conhecimento importante e relevante para segurança de nível sênior que é essencial para construir aplicações que façam corretamente a aplicação de quem pode fazer o quê, um requisito frequente e crítico em sistemas reais.