Mfumo wa authorization wa Laravel hudhibiti kile mtumiaji aliye-authenticate anaruhusiwa kufanya (tofauti na authentication — nani wao ni). Gates ni closures rahisi za ruhusa; Policies ni madarasa yanayopanga mantiki ya authorization karibu na model maalum (mfano nani anaweza ku-update Post).
::(, fn() => ->());
(::()) { ... }
::();
Gates ni nzuri kwa ruhusa rahisi, zinazojisimamia ambazo hazifungamani na model maalum.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Darasa la Policy hukusanya sheria za authorization za model — kila method hujibu "je, mtumiaji huyu anaweza kufanya kitendo hiki kwenye model hii?" Hili huweka mantiki ya authorization ikiwa imepangwa kwa kila resource.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Methods za authorize()/can() (na @can katika Blade) hukagua policy kiotomatiki — zikitupa 403 au kuficha UI wakati mtumiaji haruhusiwi.
Authorization ni la lazima na muhimu kwa usalama — kudhibiti kile watumiaji walio-authenticate wanaruhusiwa kufanya (siyo tu kama wameingia) ni la msingi kwa usalama wa programu, na policies na gates za Laravel zinatoa njia safi na iliyopangwa ya kulishughulikia.
Kuelewa tofauti kati ya authentication (wewe ni nani — kuingia) na authorization (unaweza kufanya nini — ruhusa) ni la msingi, na kushindwa kwa authorization husababisha udhaifu mkubwa (watumiaji kufikia au kubadilisha data wasiyopaswa — broken access control ni hatari kuu ya usalama).
Mfumo wa Laravel hutoa zana mbili zinazoshirikiana: Gates kwa ruhusa rahisi, zinazojisimamia (ukaguzi wenye msingi wa closure), na Policies — njia ya kawaida, inayopendekezwa — zinazopanga sheria za authorization za model katika darasa lililojitenga (mfano nani anaweza ku-update au ku-delete Post), zikiweka mantiki ya authorization iliyopangwa na inayoweza kudumishwa kwa kila resource.
Kuelewa jinsi ya kufafanua policies/gates na kuzitekeleza ($this->authorize(), $user->can(), @can katika Blade — kukagua ruhusa katika controllers, kutupa 403s, na kuonyesha UI kwa masharti) ni muhimu kwa kujenga programu salama ambapo watumiaji wanaweza kufanya tu yale yaliyoruhusiwa.
Kwa kuwa karibu kila programu halisi inahitaji udhibiti wa kina wa upatikanaji (kuhakikisha watumiaji wanaweza kubadilisha resources zao tu, kuzuia vitendo vya admin, n.k.), na kwa kuwa kukosea authorization huunda mashimo hatari ya usalama, kujua policies na gates za Laravel — njia sahihi, iliyopangwa ya kutekeleza authorization — ni maarifa muhimu ya senior yanayohusiana na usalama ambayo ni ya lazima kwa kujenga programu zinazotekeleza kwa usahihi nani anaweza kufanya nini, hitaji la mara kwa mara na muhimu katika mifumo halisi.