Sistemi i autorizimit në Laravel kontrollon çfarë mund të bëjë një përdorues i autentifikuar (i ndryshëm nga autentifikimi — kush janë ata). Portat janë mbyllje të thjeshta për lejet; Politikat janë klasa që organizojnë logjikën e autorizimit rreth një modeli specifik (p.sh. kush mund të përditësojë një Post).
::(, fn() => ->());
(::()) { ... }
::();
Portat janë të mira për lejet e thjeshta, të pavarura që nuk janë të lidhura me një model specifik.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Një klasë Politike grupon rregullat e autorizimit për një model — çdo metodë i përgjigjet pyetjes "mund ky përdorues të kryejë këtë veprim në këtë model?" Kjo e mban logjikën e autorizimit të organizuar për secilin resurs.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Metodat authorize()/can() (dhe @can në Blade) kontrollojnë politikën automatikisht — duke hedhur një 403 ose fshehur ndërfaqen kur përdoruesi nuk lejohet.
Autorizimi është thelbësor dhe kritik për sigurinë — kontrolli i asaj që mund të bëjnë përdoruesit e autentifikuar (jo vetëm nëse janë të regjistruar) është themeli i sigurisë së aplikacionit, dhe politikat dhe portat e Laravel-it ofrojnë një mënyrë të pastër dhe të organizuar për ta trajtuar atë.
Përkufizimi i dallimit midis autentifikimit (kush jeni — login) dhe autorizimit (çfarë mund të bëni — lejet) është themelor, dhe dështimet e autorizimit çojnë në plagje të serioze në sigurinë (përdoruesit që aksesojnë ose modifikojnë të dhëna që nuk duhet të — kontrolli i prishur i aksesit është një rrezik kryesor i sigurisë).
Sistemi i Laravel-it ofron dy mjete plotësuese: Portat për lejet e thjeshta, të pavarura (kontrolle të bazuara në mbyllje), dhe Politikat — qasja e zakonshme, e rekomanduar — të cilat organizojnë rregullat e autorizimit të një modeli në një klasë të dedikuar (p.sh. kush mund të përditësojë ose fshijë një Post), duke e mbajtur logjikën e autorizimit të strukturuar dhe të lehtë për mirëmbajtje për secilin resurs.
Përkuptimi se si të përcaktohen politikat/portat dhe si t'i zbatohen ato ($this->authorize(), $user->can(), @can në Blade — kontrollimi i lejeve në kontrollorë, hedhja e 403-ve, dhe shfaqja e kushtëzuar e ndërfaqes) është i rëndësishëm për ndërtimin e aplikacioneve të sigurta ku përdoruesit mund të kryejnë vetëm veprime të lejuara.
Meqenëse pothuajse çdo aplikacion real ka nevojë për kontroll të imët të aksesit (duke siguruar që përdoruesit mund të modifikojnë vetëm burimet e tyre, duke kufizuar veprimet e administratorit, etj.), dhe meqenëse dështimi në autorizim krijon vrima të rrezikshme në sigurinë, njohja e politikave dhe portave të Laravel-it — mënyra e duhur, e organizuar për të zbatuar autorizimin — është njohuri e rëndësishme për sigurinë të nivelit të lartë që është thelbësore për ndërtimin e aplikacioneve që zbatojnë saktë kush mund të bëjë çfarë, një kërkesë e shpeshtë dhe kritike në sistemet reale.