Laravel کا authorization system کنٹرول کرتا ہے کہ ایک authenticated user کیا کر سکتا ہے (authentication سے مختلف — وہ کون ہیں)۔ Gates permissions کے لیے سادہ closures ہیں؛ Policies کلاسز ہیں جو authorization logic کو ایک مخصوص model کے ارد گرد منظم کرتی ہیں (مثال کے طور پر کون ایک Post کو update کر سکتا ہے)۔
::(, fn() => ->());
(::()) { ... }
::();
Gates سادہ، مستقل permissions کے لیے اچھے ہیں جو کسی مخصوص model سے جڑے نہیں ہوتے۔
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // only the author can update
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
ایک Policy class ایک model کے لیے authorization rules کو گروپ کرتا ہے — ہر method یہ جواب دیتا ہے "کیا یہ user اس model پر یہ action انجام دے سکتا ہے؟" یہ authorization logic کو ہر resource کے لیے منظم رکھتا ہے۔
// in a controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied
// ... proceed (we know the user is authorized)
}
// the user model
if ($request->user()->can('update', $post)) { ... }
{{-- in Blade — show UI only if authorized --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
authorize()/can() methods (اور Blade میں @can) خودکار طور پر policy کو چیک کرتے ہیں — جب user کو اجازت نہیں ہوتی تو 403 throw کرتے ہیں یا UI کو چھپاتے ہیں۔
Authorization ضروری اور security-critical ہے — authenticated users کو کیا کرنے کی اجازت ہے اس کو کنٹرول کرنا (نہ کہ صرف یہ کہ وہ logged in ہیں) application security کے لیے بنیادی ہے، اور Laravel کے policies اور gates اس کو سنبھالنے کا ایک صاف، منظم طریقہ فراہم کرتے ہیں۔
Authentication (آپ کون ہیں — login) اور authorization (آپ کیا کر سکتے ہیں — permissions) میں فرق سمجھنا بنیادی ہے، اور authorization failures سنگین vulnerabilities کا باعث بنتی ہیں (users ایسے data کو access یا modify کر رہے ہیں جو انہیں نہیں کرنی چاہیے — broken access control ایک top security risk ہے)۔
Laravel کا system دو complementary tools فراہم کرتا ہے: Gates سادہ، مستقل permissions کے لیے (closure-based checks)، اور Policies — عام، recommended approach — جو ایک model کے authorization rules کو ایک dedicated class میں منظم کرتے ہیں (مثال کے طور پر کون ایک Post کو update یا delete کر سکتا ہے)، authorization logic کو ہر resource کے لیے منظم اور maintainable رکھتے ہوئے۔
یہ سمجھنا کہ policies/gates کو کیسے define کریں اور انہیں enforce کریں ($this->authorize(), $user->can(), Blade میں @can — controllers میں permissions check کرنا، 403s throw کرنا، اور شرطی طور پر UI دکھانا) secure applications بنانے کے لیے اہم ہے جہاں users صرف permitted actions انجام دے سکیں۔
چونکہ تقریباً ہر real application کو fine-grained access control کی ضرورت ہے (یقینی بنانا کہ users صرف اپنے resources کو modify کر سکیں، admin actions کو محدود کرنا، وغیرہ)، اور چونکہ authorization کو غلط طریقے سے handle کرنا خطرناک security holes بناتا ہے، Laravel کے policies اور gates کو سمجھنا — authorization کو implement کرنے کا صحیح، منظم طریقہ — اہم security-relevant senior knowledge ہے جو applications بنانے کے لیے ضروری ہے جو یہ صحیح طریقے سے enforce کریں کہ کون کیا کر سکتا ہے، جو real systems میں ایک متواتر اور critical requirement ہے۔