Как правильно настроить доступность метода контроллера для многоролевой модели?

Question

[lexstile]

// ProjectController
    public function show(Project $project)
    {
        abort_if(!auth()->user()->can('view', $project), 403);

        return response()->json(new ProjectResource($project));
    }

    // ProjectPolicy
    public function view(User $user, Project $project) {
        return $project->user_id === $user->id;
    }

    // Routes
    Route::controller(\App\Http\Controllers\ProjectController::class)->middleware('owner_protect')->prefix('/')->group(function() {
        Route::get('/projects/{project}', 'show')->name('project_show');
        // Route::delete('/projects/{id}', 'destroy')->name('project_destroy');
        // Route::patch('/projects/{id}', 'update')->name('project_update');
        // Route::put('/projects/{id}', 'replace')->name('project_replace');
        // Route::post('/projects', 'create')->name('project_create');
        // Route::get('/projects', 'get')->name('project_get');
    });

Можно ли вынести проверку с abort_if на уровень роутов?
Идея в том, что эта проверка будет одинаковой для многих роутов, ее было бы логично вынести на уровень выше. Но как это правильно сделать, я не особо понял, не ломая текущий функционал.
А если уже будут добавляться более специфичные проверки - то выносить в policy.

Answer 1

[Дмитрий]

Route::get('/projects/{project}', 'show')->name('project_show')->can('view', 'project');

Comments

[lexstile]

Спасибо большое!
А еще такой вопрос, был бы очень признателен.
Нельзя ли вынести на уровень группы роутов? (Route::controller...)

[lexstile]

Чтобы не дублировать один и тот же код.

[Дмитрий]

lexstile, дублировать какой код? у вас будет куча методов проверять возможность вариант имеет ли разрешение view на проект?

[lexstile]

Дмитрий, а я не могу переназвать в policy view на что-то более абстрактное и применять для нескольких методов?

[Дмитрий]

class ProjectController extends Controller
{
    /**
     * Create the controller instance.
     *
     * @return void
     */
    public function __construct()
    {
        $this->authorizeResource(Project::class, 'project');
    }
}

[Дмитрий]

lexstile, не понял. что значит абстрактное это как?

[lexstile]

Дмитрий, я имею ввиду что-то такое:

// ProjectPolicy
    public function test(User $user, Project $project) {
        return $project->user_id === $user->id;
    }

    // Routes
    Route::controller(\App\Http\Controllers\ProjectController::class)->middleware('owner_protect')->prefix('/')->group(function() {
        Route::get('/projects/{project}', 'show')->name('project_show');
        // Route::delete('/projects/{id}', 'destroy')->name('project_destroy');
        // Route::patch('/projects/{id}', 'update')->name('project_update');
        // Route::put('/projects/{id}', 'replace')->name('project_replace');
        // Route::post('/projects', 'create')->name('project_create');
        // Route::get('/projects', 'get')->name('project_get');
    })->can('test', 'project');

так нельзя?

[lexstile]

Дмитрий,

class ProjectController extends Controller
{
    /**
     * Create the controller instance.
     *
     * @return void
     */
    public function __construct()
    {
        $this->authorizeResource(Project::class, 'project');
    }
}

А такой вариант, я так понимаю, сработает для всех методов контроллера и если я захочу чтение проекта отдать другому пользователю, то придется возвращаться к полиси по каждому конкретному методу - в роутах или в каждому конкретном методе...

[Дмитрий]

lexstile, я Route::controller никогда не использовал - так что не знаю. Проверьте - запустить этот код и посмотреть залезет ли он в Policy или нет - быстрее чем спрашивать. Если нет - то я там дал вам вариант

[Дмитрий]

lexstile,

то придется возвращаться к полиси по каждому конкретному методу

можете через Policy before сделать один метод для проверки всего

[lexstile]

я Route::controller никогда не использовал - так что не знаю. Проверьте - запустить этот код и посмотреть залезет ли он в Policy или нет - быстрее чем спрашивать. Если нет - то я там дал вам вариант

СОгласен, не работает.
Но в middleware(['owner_protect', 'can:test,project']) сработало.

[lexstile]

можете через Policy before сделать один метод для проверки всего

Интересно, еще раз спасибо большое, попробую!
Это переопределение стандартного метода полиси.
Круто.