Где проверять права доступа?

Question

Danbka @Danbka

Laravel

Где проверять права доступа?

Привет.

Разные группы пользователей могут выполнять разные действия с записями:

Администратор: добавление/изменение/удаление
Менеджер: изменение

Где правильно проверять права доступа? Пока сделал в контроллере, но выглядит не очень:

public function create()
{
	if (!Bouncer::allows('can_add_record')) {
		App::abort(403, 'Доступ запрещен');
	}
...
}

public function store(StoreRecordRequest $request)
{
	if (!Bouncer::allows('can_add_record')) {
		App::abort(403, 'Доступ запрещен');
	}
...
}

Плюс, например, при изменении записи необходимо проверять, что менеджер может изменять только "свои" записи.

Куда лучше вынести такие проверки? Middleware вроде бы не очень подходит для этих целей.

Вопрос задан более трёх лет назад
237 просмотров

Комментировать

Подписаться 2 Простой Комментировать

Решения вопроса 1

3 комментария

Danbka @Danbka Автор вопроса
Спасибо, этот вариант подходит больше всего. Хочу у Вас уточнить, насколько правильно делать вот так в контроллере:
public function create() { if (!Auth::user()->can('create', Record::class)) { App::abort(403, 'Доступ запрещен'); } ... }

А в самой RecordPolicy разруливаются права доступа.
Написано более трёх лет назад
metallix @metallix

Выглядит вполне нормально

Написано более трёх лет назад
Alex Wells @Alex_Wells

Марис, ужасно. Политики подходят, если вы хотите каждый раз вручную писать вышеописанный код, но стоит ли?

В контроллерах есть метод authorize, который вызывает гейт, который вызывает политику, который вызывает bouncer, так что весь ваш код можно упростить:

$this->authorize('create', Record::class)

Либо Gate::allows внутри метода authorize formRequest'а для нужного раута.

Написано более трёх лет назад