Laravel's authorization система контролирует что аутентифицированный пользователь может делать (отличается от аутентификации — кто они есть). Gates — простые замыкания для разрешений; Policies — классы, которые организуют логику авторизации вокруг определённой модели (напр. кто может обновить Post).
::(, fn() => ->());
(::()) { ... }
::();
Gates хорошо подходят для простых, независимых разрешений, не привязанных к конкретной модели.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Policy класс группирует правила авторизации для модели — каждый метод отвечает на вопрос "может ли этот пользователь выполнить это действие с этой моделью?". Это держит логику авторизации организованной для каждого ресурса.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Методы authorize()/can() (и @can в Blade) автоматически проверяют policy — выбрасывают 403 или скрывают UI, когда пользователь не имеет разрешения.
Авторизация критична и имеет важное значение для безопасности — контроль того, что аутентифицированные пользователи могут делать (а не только авторизованы ли они), является фундаментом безопасности приложения, и policies и gates Laravel предоставляют чистый, организованный способ это обрабатывать.
Понимание различия между аутентификацией (кто вы — вход) и авторизацией (что вы можете делать — разрешения) является основополагающим, и сбои авторизации приводят к серьёзным уязвимостям (пользователи получают доступ или изменяют данные, которые не должны — broken access control — это главный риск безопасности).
Система Laravel предоставляет два дополняющих инструмента: Gates для простых, независимых разрешений (проверки на основе замыканий), и Policies — общий, рекомендуемый подход — которые организуют правила авторизации модели в выделённый класс (напр. кто может обновить или удалить Post), держа логику авторизации структурированной и поддерживаемой для каждого ресурса.
Понимание как определять policies/gates и их применение ($this->authorize(), $user->can(), @can в Blade — проверка разрешений в контроллерах, выброс 403, и условное отображение UI) важно для создания безопасных приложений, где пользователи могут только выполнять разрешённые действия.
Поскольку почти каждому реальному приложению нужен детальный контроль доступа (обеспечение того, что пользователи могут изменять только свои ресурсы, ограничение действий администратора и т.д.), и поскольку неправильная авторизация создаёт опасные дыры в безопасности, знание Laravel policies и gates — правильного, организованного способа реализации авторизации — это важное, связанное с безопасностью знание уровня старшего разработчика, которое критически необходимо для создания приложений, которые правильно обеспечивают кто может делать что, частое и критическое требование в реальных системах.