ระบบ authorization ของ Laravel ควบคุม ว่าผู้ใช้ที่ผ่านการ authenticate ได้รับอนุญาตให้ทำอะไรได้บ้าง (แตกต่างจาก authentication ที่บอกว่า ใคร คือผู้ใช้) Gates เป็น closure ง่าย ๆ สำหรับสิทธิ์ ส่วน Policies เป็นคลาสที่จัดระเบียบลอจิก authorization รอบ ๆ model เฉพาะตัว (เช่น ใครสามารถอัปเดต Post ได้)
::(, fn() => ->());
(::()) { ... }
::();
Gates เหมาะสำหรับสิทธิ์ที่ง่ายและเป็นอิสระ ไม่ผูกกับ model เฉพาะตัว
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
คลาส Policy จัดกลุ่มกฎ authorization สำหรับ model หนึ่ง ๆ โดยแต่ละเมธอดตอบคำถามว่า "ผู้ใช้นี้สามารถทำการกระทำนี้บน model นี้ได้หรือไม่?" สิ่งนี้ทำให้ลอจิก authorization ถูกจัดระเบียบต่อ resource
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
เมธอด authorize()/can() (และ @can ใน Blade) ตรวจสอบ policy โดยอัตโนมัติ โดยจะ throw 403 หรือซ่อน UI เมื่อผู้ใช้ไม่ได้รับอนุญาต
authorization เป็นสิ่งจำเป็นและ สำคัญต่อความปลอดภัย การควบคุมว่าผู้ใช้ที่ผ่านการ authenticate ได้รับอนุญาตให้ทำอะไร (ไม่ใช่แค่ว่าพวกเขาล็อกอินอยู่หรือไม่) เป็นพื้นฐานของความปลอดภัยของแอปพลิเคชัน และ policies กับ gates ของ Laravel ก็ให้วิธีจัดการที่สะอาดและเป็นระเบียบ
การเข้าใจความแตกต่างระหว่าง authentication (คุณคือใคร — การล็อกอิน) และ authorization (คุณทำอะไรได้ — สิทธิ์) เป็นพื้นฐาน และความล้มเหลวของ authorization นำไปสู่ช่องโหว่ร้ายแรง (ผู้ใช้เข้าถึงหรือแก้ไขข้อมูลที่ไม่ควร — broken access control เป็นความเสี่ยงด้านความปลอดภัยอันดับต้น ๆ)
ระบบของ Laravel มีเครื่องมือที่เสริมกันสองอย่าง ได้แก่ Gates สำหรับสิทธิ์ที่ง่ายและเป็นอิสระ (การตรวจสอบแบบ closure) และ Policies ซึ่งเป็นแนวทางที่พบบ่อยและแนะนำ ที่จัดระเบียบกฎ authorization ของ model ลงในคลาสเฉพาะ (เช่น ใครสามารถอัปเดตหรือลบ Post) ทำให้ลอจิก authorization มีโครงสร้างและดูแลรักษาได้ต่อ resource
การเข้าใจวิธีนิยาม policies/gates และบังคับใช้มัน ($this->authorize(), $user->can(), @can ใน Blade — การตรวจสอบสิทธิ์ใน controllers การ throw 403 และการแสดง UI แบบมีเงื่อนไข) เป็นสิ่งสำคัญสำหรับการสร้างแอปพลิเคชันที่ปลอดภัยซึ่งผู้ใช้สามารถทำได้เฉพาะการกระทำที่ได้รับอนุญาต
เนื่องจากแอปพลิเคชันจริงเกือบทุกตัวต้องการการควบคุมการเข้าถึงแบบละเอียด (รับประกันว่าผู้ใช้สามารถแก้ไขเฉพาะ resource ของตน จำกัดการกระทำของ admin เป็นต้น) และเนื่องจากการทำ authorization ผิดสร้างช่องโหว่ด้านความปลอดภัยที่อันตราย การรู้ policies และ gates ของ Laravel ซึ่งเป็นวิธีที่เหมาะสมและเป็นระเบียบในการ implement authorization จึงเป็นความรู้ระดับ senior ที่เกี่ยวข้องกับความปลอดภัยที่สำคัญและจำเป็นต่อการสร้างแอปพลิเคชันที่บังคับใช้ได้อย่างถูกต้องว่าใครสามารถทำอะไรได้ ซึ่งเป็นความต้องการที่พบบ่อยและสำคัญยิ่งในระบบจริง