Laravel இன் அங்கீகாரம் அமைப்பு நிரീক্ষணம் செய்யப்பட்ட பயனர் என்ன செய்ய அனுமதி பெற்றுள்ளார் என்பதைக் கட்டுப்படுத்துகிறது (நிரीக்ષணத்திலிருந்து வேறுபடுத்தப்பட்டது — யார் அவர்கள்). வாயில்கள் அனுமதிகளுக்கான எளிய closures ஆகும்; கொள்கைகள் ஒரு குறிப்பிட்ட மாதிரிக்கு (எ.கா. யார் Post ஐ புதுப்பிக்க முடியும்) அங்கீகாரம் தர்க்கத்தை ஒழுங்கமைக்கும் வகுப்புக்கள் ஆகும்.
// define a gate (e.g. in a service provider)
Gate::define('edit-settings', fn($user) => $user->isAdmin());
// check it
if (Gate::allows('edit-settings')) { ... }
Gate::authorize('edit-settings'); // throws a 403 if denied
வாயில்கள் எளிய, ஒரு குறிப்பிட்ட மாதிரியுடன் பிணைக்கப்படாத தனித்துவ அனுமதிகளுக்கு நல்லவை.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
ஒரு கொள்கை வகுப்பு ஒரு மாதிரியின் அங்கீகார விதிகளை ஒன்றாக குழுவாக தொகுக்கிறது — ஒவ்வொரு முறை "இந்த பயனர் இந்த மாதிரியில் இந்த செயலைச் செய்ய முடியுமா?" என்பதற்குப் பதிலளிக்கிறது. இது ஒவ்வொரு வளத்துக்கும் அங்கீகாரம் தர்க்கத்தை ஒழுங்கமைத்து வைக்கிறது.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() முறைகள் (மற்றும் Blade இல் @can) தானாக கொள்கையைச் சரிபார்க்கின்றன — பயனர் அனுமதி பெறாதபோது 403 ஐ வீசுவதோ அல்லது UI ஐ மறைப்பதோ.
அங்கீகாரம் அத்தியாவசியமாக இருப்பதோடு பாதுகாப்பு-முக்கியமாகவும் உள்ளது — நிரீக்ષணம் செய்யப்பட்ட பயனர்கள் என்ன செய்ய அனுமதி பெற்றுள்ளார் என்பதைக் கட்டுப்படுத்துவது (அவர்கள் உள்நுழைந்திருக்கிறார்களா என்பது அல்ல) பயன்பாட்டு பாதுகாப்புக்கு அடிப்படையாக இருப்பது, மற்றும் Laravel இன் கொள்கைகள் மற்றும் வாயில்கள் இதை நிர்வகிக்க சுத்தமான, ஒழுங்கமைந்த வழி வழங்குகின்றன.
நிரீக்ஷணம் (நீங்கள் யார் — உள்நுழைவு) மற்றும் அங்கீகாரம் (நீங்கள் என்ன செய்யலாம் — அனுமதிகள்) இடையே உள்ள வேறுபாடு அடிப்படையாக இருப்பதோடு, அங்கீகாரம் தோல்விகள் கடுமையான பாதுகாப்பு குறைபாடுகளுக்கு வழிவகுக்கின்றன (பயனர்கள் தங்களுக்கு அனுமதி இல்லாத தரவை அணுகுதல் அல்லது மாற்றுதல் — broken access control ஒரு শীर্ష பாதுகாப்பு ঝுக்கி).
Laravel இன் அமைப்பு இரண்டு பরিপூரక கருவிகளை வழங்குகிறது: வாயில்கள் எளிய, தனித்துவ அனுமதிகளுக்கு (closure அடிப்படையிலான சரிபார்ப்புகள்), மற்றும் கொள்கைகள் — பொதுவான, பரிந்துரைக்கப்பட்ட முறை — ஒரு மாதிரியின் அங்கீகார விதிகளை ஒரு ஒৎபन்ন வகுப்பில் ஒழுங்கமைக்கிறது (எ.கா. யார் Post ஐ புதுப்பிக்க அல்லது நீக்க முடியும்), ஒவ்வொரு வளத்துக்கும் அங்கீகாரம் தர்க்கத்தை கட்டமைத்து மற்றும் பராமரிக்கக்கூடியதாக வைத்திருக்கிறது.
கொள்கைகள்/வாயில்களை எவ்வாறு வரையறுக்க வேண்டும் மற்றும் அவற்றை நடைமுறைப்படுத்த வேண்டும் ($this->authorize(), $user->can(), Blade இல் @can — கட்டுப்படுத்திகளில் அனுமதிகளைச் சரிபார்ப்பு, 403 ஐ வீசுவது, மற்றும் UI ஐ நிபந்தனையுடன் காட்டுவது) பற்றிய புரிதல் பாதுகாப்பான பயன்பாடுகளை உருவாக்குவதற்கு முக்கியமானது, அங்கு பயனர்கள் அனுமதி பெற்ற செயல்களை மட்டுமே செய்ய முடியும்.
ほぼ ஒவ்வொரு உண்மையான பயன்பாடும் நுணுக்கமான அணுக அதிகாரம் கட்டுப்படுத்தல் தேவைப்படுவதால் (பயனர்கள் தங்களுக்கான வளங்களை மட்டுமே மாற்ற முடிவதை உறுதிசெய்தல், நிர்வாக நடவடிக்கைகளைக் கட்டுப்படுத்துதல், முதலியன), மற்றும் அங்கீகாரம் தவறாக செய்வதை பயங்கர பாதுகாப்பு துளைகளை உருவாக்குவதால், Laravel இன் கொள்கைகள் மற்றும் வாயில்கள் — அங்கீகாரத்தை நடைமுறைப்படுத்தக்கூடிய சரியான, ஒழுங்கமைந்த வழி — முக்கியமான பாதுகாப்பு-தொடர்புடைய மூத்த அறிவாக இருப்பதோடு, யாராவது என்ன செய்ய முடிய வேண்டும் என்பதை சரியாக செயல்படுத்தும் பயன்பாடுகளை உருவாக்குவதற்கு அத்தியாவசியமாக இருக்கிறது, உண்மையான அமைப்புகளில் ஒரு அடிக்கடி மற்றும் முக்கியமான தேவை.