Hệ thống authorization của Laravel kiểm soát một user đã xác thực được phép làm gì (khác với authentication — họ là ai). Gate là các closure đơn giản cho phân quyền; Policy là các class tổ chức logic authorization quanh một model cụ thể (ví dụ ai có thể cập nhật một Post).
::(, fn() => ->());
(::()) { ... }
::();
Gate tốt cho các quyền đơn giản, độc lập không gắn với một model cụ thể.
<?php
// php artisan make:policy PostPolicy --model=Post
class PostPolicy {
public function update(User $user, Post $post): bool {
return $user->id === $post->user_id; // chỉ tác giả mới có thể cập nhật
}
public function delete(User $user, Post $post): bool {
return $user->id === $post->user_id || $user->isAdmin();
}
}
Một class Policy nhóm các quy tắc authorization cho một model — mỗi method trả lời "user này có thể thực hiện hành động này trên model này không?" Điều này giữ logic authorization có tổ chức theo từng resource.
// trong một controller
public function update(Request $request, Post $post) {
$this->authorize('update', $post); // kiểm tra PostPolicy::update — ném 403 nếu từ chối
// ... tiếp tục (ta biết user được phép)
}
// model user
if ($request->user()->can('update', $post)) { ... }
{{-- trong Blade — chỉ hiển thị UI nếu được phép --}}
@can('update', $post)
<a href="{{ route('posts.edit', $post) }}">Edit</a>
@endcan
Các method authorize()/can() (và @can trong Blade) kiểm tra policy tự động — ném 403 hoặc ẩn UI khi user không được phép.
Authorization thiết yếu và quan trọng về bảo mật — kiểm soát những gì user đã xác thực được phép làm (không chỉ là họ có đăng nhập hay không) là nền tảng cho bảo mật ứng dụng, và policy và gate của Laravel cung cấp một cách sạch sẽ, có tổ chức để xử lý nó.
Hiểu sự phân biệt giữa authentication (bạn là ai — login) và authorization (bạn có thể làm gì — phân quyền) là nền tảng, và các thất bại authorization dẫn đến lỗ hổng nghiêm trọng (user truy cập hoặc sửa đổi dữ liệu họ không nên — broken access control là một rủi ro bảo mật hàng đầu).
Hệ thống của Laravel cung cấp hai công cụ bổ trợ: Gate cho các quyền đơn giản, độc lập (kiểm tra dựa trên closure), và Policy — cách tiếp cận phổ biến, được khuyến nghị — tổ chức các quy tắc authorization của một model vào một class chuyên dụng (ví dụ ai có thể cập nhật hoặc xóa một Post), giữ logic authorization có cấu trúc và dễ bảo trì theo từng resource.
Hiểu cách định nghĩa policy/gate và thực thi chúng ($this->authorize(), $user->can(), @can trong Blade — kiểm tra quyền trong controller, ném 403, và hiển thị UI có điều kiện) là quan trọng để xây dựng các ứng dụng an toàn nơi user chỉ có thể thực hiện các hành động được phép.
Vì gần như mọi ứng dụng thực tế cần kiểm soát truy cập chi tiết (đảm bảo user chỉ có thể sửa đổi resource của chính họ, hạn chế các hành động admin, v.v.), và vì làm sai authorization tạo ra các lỗ hổng bảo mật nguy hiểm, biết policy và gate của Laravel — cách đúng đắn, có tổ chức để triển khai authorization — là kiến thức cấp senior liên quan đến bảo mật quan trọng, thiết yếu để xây dựng các ứng dụng thực thi đúng ai có thể làm gì, một yêu cầu thường gặp và then chốt trong các hệ thống thực.