Как можно объединить условия трех зависимых сущностей в policy?

Question

[lexstile]

Необходимо проверить пользователя и проект - либо isLinkedOwner - создатель проекта, либо isLinked - сотрудник проекта.
Необходимо проверить, что меню принадлежит проекту - delete - тут и возникли проблемы (если мы берем меню другого проекта, он подтягивает в полиси по связи именно проект текущего меню, а не который мы передавали. Только в контроллере модели те, которые нужны, в полиси по связи они всегда принадлежат друг другу - какое бы мы меню не передали).

# ProjectPolicy

    public function isLinked(User $user, Project $project)
    {
        return $project->users()->exists($user->id);
    }

    public function isLinkedOwner(User $user, Project $project) {
        return $user->id === $project->user_id;
    }

    public function isAdmin(User $user, Project $project) {
        return $this->isLinkedOwner($user, $project) || ($user->isAdmin() && $this->isLinked($user, $project));
    }

    # MenuPolicy
    public function __construct()
    {
        $this->projectPolicy = new ProjectPolicy;
    }

    public function delete(User $user, Menu $menu) {
        // dd($menu->project->id, $menu->project_id);
        return $this->projectPolicy->isAdmin($user, $menu->project);
    }

    # MenuModel
    public function project()
    {
        return $this->belongsTo(Project::class);
    }

Answer 1

[Дмитрий]

public function delete(User $user, Menu $menu) {
        // dd($menu->project->id, $menu->project_id);
        return $this->projectPolicy->isAdmin($user, $menu->project);
    }

Зачем вы так? Ну у вас уже есть пользователь. Есть модель Project. Нахрена вы тащите руками Policy. Ну определите разрешение на модификацию элементов меню в ProjectPolicy и используйте на здоровье.

public function delete(User $user, Menu $menu) {
        return $user->can('delete-menu', $menu->project);
}

Comments

[lexstile]

Благодарю за ответ.
Правильно ли я вас понял, нужно реализовать проверку для меню в ProjectPolicy, при этом я могу любую модель прокинуть вторым аргументом?
Не совсем понимаю, как я смогу проверить, что этот пользователь создал проект (isLinkedOwner) или этот пользователь принадлежит проекту (isLinked - для просмотра и isAdmin - для удаления)?

[Дмитрий]

lexstile,
1. ну я не совсем знаю логику вашего проекта. Если разрешение на удаление пункта меню выдается на основе данных Project - то тогда там и проверяйте.

2. Нет, в этом случае не любую. Если вы прокинете туда модель не Project - у вас вызовется другой Policy, а нам надо ProjectPolicy. Как бы стоит понять логику работы: у вас в AuthServiceProvider прописывается связка Model -> Policy. Когда вы у пользователя спрашиваете can('action', model) он через эту привязку по class name определяет нужный Policy и в нем ищет нужный экшн, вызывает его и передает туда текущего пользователя и модель. Можно поугорать - залепить

public function delete(User $user, Menu $menu) {
        return $user->can('delete', $menu);
}

И получить рекурсию.

3. вы в ProjectPolicy пишете метод deleteMenu() в нем проверяете ваши вещи - кто создал проект, кому кто принадлежит, зачем создал - и всякое такое - на основании этого выдаете allow/deny.

[lexstile]

Дмитрий, спасибо большое за разъяснение.
Просто в ProjectPolicy я проверю - кто создал проект и/или имеет ли отношение пользователь к проекту, но как я проверю, что идет вызов именно нужного меню и проекта (то есть, menu.project_id === project.id)?

[Дмитрий]

lexstile, ну напишите метод который будет принимать 3 параметра. Пользователь, модель проекта, модель меню. Но учитывая что в моём варианте дёргаем модель проекта через связку - нахрен не надо. Как решать роуты со скопами что бы на уровне роутов валидрровалось наследование - я вам писал в прошлом вашем вопросе

[lexstile]

Дмитрий, в общем, я попробовал так (scopeBindings):

Route::prefix('/projects')->group(function() {
        Route::get('/', [ProjectController::class, 'getAll'])->can('getAll', Project::class);
        Route::post('/', [ProjectController::class, 'create'])->can('create', Project::class);

        Route::prefix('/{project}')->group(function() {
            Route::get('/', [ProjectController::class, 'show'])->can('view', 'project');
            Route::put('/', [ProjectController::class, 'update'])->can('update', 'project');
            Route::patch('/', [ProjectController::class, 'update'])->can('update', 'project');
            Route::delete('/', [ProjectController::class, 'destroy'])->can('destroy', 'project');

            Route::prefix('/menu')->group(function() {
                Route::get('/', [MenuController::class, 'getAll'])->can('view', 'project');
                Route::post('/', [MenuController::class, 'create'])->can('isAdmin', 'project');
                Route::get('/{menu}', [MenuController::class, 'show'])->scopeBindings();
                Route::delete('/{menu}', [MenuController::class, 'destroy']);
            });
        });
    });

Он начал возвращать 404 ошибку, аналогично варианту в контроллере:

public function show(Project $project, Menu $menu)
    {
        // dd($project->id, $menu->project_id);
        $menu = $project->menu()->findOrFail($menu->id);

        return $this->baseJson(data: new MenuResource($menu));
    }

Это так работает? Или должна быть 403 ошибка?
В доке не нашел адекватных примеров.

[Дмитрий]

lexstile, в доке сказано направление куда копать. какой метод вам надо раскопать я сказал. Я думаю при помощи dd вполне можно справится.