Laravel'in yetkilendirme sistemi kimliği doğrulanmış bir kullanıcının ne yapmasına izin verildiğini kontrol eder (kimlik doğrulamadan farklı — kim olduklarından). Kapılar (Gates) izinler için basit closure'lardır; Politikalar belirli bir modelle ilgili yetkilendirme mantığını düzenleyen sınıflardır (örn. Post'u kimler güncelleyebilir).
// define a gate (e.g. in a service provider)
Gate::define('edit-settings', fn($user) => $user->isAdmin());
// check it
if (Gate::allows('edit-settings')) { ... }
Gate::authorize('edit-settings'); // throws a 403 if denied
Kapılar belirli bir modelle bağlı olmayan basit, bağımsız izinler için iyidir.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Bir Policy sınıfı, bir modelin yetkilendirme kurallarını gruplandırır — her metot "bu kullanıcı bu modelde bu işlemi yapabilir mi?" sorusuna cevap verir. Bu, yetkilendirme mantığını kaynak başına organize tutar.
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() metotları (ve Blade'de @can) politikayı otomatik olarak kontrol eder — kullanıcı izin verilmediğinde 403 hatası fırlatır veya UI'yi gizler.
Yetkilendirme temel ve güvenlik açısından kritiktir — kimliği doğrulanmış kullanıcıların ne yapmasına izin verildiğini kontrol etmek (sadece giriş yapıp yapmadıklarından değil) uygulama güvenliğinin temeli olup, Laravel'in politikaları ve kapıları bunu gerçekleştirmek için temiz, organize bir yol sağlar.
Kimlik doğrulama (kim olduğunuz — giriş) ile yetkilendirme (ne yapabileceğiniz — izinler) arasındaki farkı anlamak temeldir ve yetkilendirme başarısızlıkları ciddi güvenlik açıklarına yol açar (kullanıcılar erişmemesi veya değiştirmemesi gereken verilere erişir — kırılmış erişim kontrolü en önemli güvenlik risklerinin başında gelir).
Laravel'in sistemi iki tamamlayıcı araç sunar: basit, bağımsız izinler için Kapılar (closure tabanlı kontroller) ve Politikalar — yaygın, önerilen yaklaşım — bir modelin yetkilendirme kurallarını adanmış bir sınıfa organize eder (örn. Post'u kimler güncelleyebilir veya silebilir), yetkilendirme mantığını kaynak başına yapılandırılmış ve bakım yapılabilir tutar.
Politikaları/kapıları nasıl tanımlayacağınızı ve bunları nasıl uygulayacağınızı anlamak ($this->authorize(), $user->can(), Blade'de @can — kontrolörlerde izinleri kontrol etme, 403 fırlatma ve koşullu olarak UI gösterme) güvenli uygulamalar inşa etmek için önemlidir ve burada kullanıcılar yalnızca izin verilen işlemleri yapabilirler.
Neredeyse her gerçek uygulamanın ince ayarlı erişim kontrolüne ihtiyacı olması (kullanıcıların sadece kendi kaynaklarını değiştirebilmesini sağlama, yönetici işlemlerini kısıtlama, vb.) ve yetkilendirme yanlış yapıldığında tehlikeli güvenlik açıklarına yol açması nedeniyle, Laravel'in politikaları ve kapılarını — yetkilendirmeyi uygulamanın uygun, organize yolu — bilmek önemli güvenlikle ilgili üst düzey bilgidir ve kimin ne yapabileceğini doğru şekilde uygulayan uygulamalar inşa etmek için gereklidir, bu da gerçek sistemlerde sık rastlanan ve kritik bir gerekliliktir.