Sistemul de autorizare al Laravel-ului controlează ce este permis unui utilizator autentificat să facă (distinct de autentificare — cine sunt). Porțile sunt închideri simple pentru permisiuni; Politicile sunt clase care organizează logica de autorizare în jurul unui model specific (de ex. cine poate actualiza un Post).
::(, fn() => ->());
(::()) { ... }
::();
Portile sunt bune pentru permisiuni simple, independente, nu legate de un model specific.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
O clasă Policy grupează regulile de autorizare pentru un model — fiecare metodă răspunde "poate acest utilizator efectua această acțiune pe acest model?" Aceasta ține logica de autorizare organizată per resursă.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Metodele authorize()/can() (și @can în Blade) verifică politica automat — aruncând o eroare 403 sau ascunzând interfața când utilizatorul nu este autorizat.
Autorizarea este esențială și critic importantă pentru securitate — controlarea ce sunt autorizați să facă utilizatorii autentificați (nu doar dacă sunt conectați) este fundamental pentru securitatea aplicației, iar politicile și porțile Laravel-ului oferă o modalitate curată și organizată pentru a o gestiona.
Înțelegerea diferenței dintre autentificare (cine ești — conectare) și autorizare (ce poți face — permisiuni) este fundamentală, iar erorile de autorizare conduc la vulnerabilități grave (utilizatori accesând sau modificând date pe care nu ar trebui să le acceseze — controlul accesului defect este un risc de securitate major).
Sistemul Laravel-ului oferă două instrumente complementare: Porți pentru permisiuni simple, independente (verificări bazate pe închideri), și Politici — abordarea obișnuită, recomandată — care organizează regulile de autorizare ale unui model într-o clasă dedicată (de ex. cine poate actualiza sau șterge un Post), ținând logica de autorizare structurată și ușor de întreținut per resursă.
Înțelegerea cum să definești politici/porți și cum să le aplici ($this->authorize(), $user->can(), @can în Blade — verificarea permisiunilor în controlere, aruncarea erorilor 403, și afișarea condițională a interfeței) este importantă pentru construirea de aplicații sigure unde utilizatorii pot efectua doar acțiuni autorizate.
Deoarece aproape fiecare aplicație reală are nevoie de control de acces granular (asigurând că utilizatorii pot modifica doar resursele lor proprii, restricționând acțiuni de administrator, etc.), și deoarece implementarea greșită a autorizării creează găuri de securitate periculoase, cunoașterea politicilor și porților Laravel-ului — modalitatea proprie, organizată de implementare a autorizării — este cunoaștere importantă relevantă pentru securitate la nivel senior care este esențială pentru construirea de aplicații care aplică corect cine poate face ce, o cerință frecventă și critică în sistemele reale.