Как корректно соcтавить правило валидации на laravel 9?

Question

[lexstile]

нужно корректно провалидировать поле user_id.

OrderUpdateRequest

public function rules()
    {
        return [
            'table_id' => [
                'numeric',
                Rule::exists('tables', 'id')->where(function ($query) {
                    # проверка принадлежности стола и заказа к одному проекту
                    return $query->where('project_id', $this->project->id);
                }),
                Rule::unique('orders')->where(function ($query) {
                    # проверка доступности стола (нет ли на нем заказов в указанных статусах)
                    return $query->where('table_id', $this->table_id)->whereIn('status', [Order::NEW, Order::WORK, Order::PAID]);
                }),
            ],
            'user_id' => [
                'nullable',
                'numeric',
                'exists:users,id',
                new UserAssigneeToOrderRule($this->project),
            ],
            'status' => ['string', new OrderStatusRule($this->order)],
        ];
    }

Пока остановился на версии 2, но все равно кажется, что можно как-то это проще сделать.
Если есть идеи, буду очень признателен.

Версия 1:

class UserAssigneeToOrderRule implements InvokableRule
{
    private Project $project;

    public function __construct (Project $project) {
        $this->project = $project;
    }

    /**
     * Run the validation rule.
     *
     * @param  string  $attribute
     * @param  mixed  $value
     * @param  \Closure(string): \Illuminate\Translation\PotentiallyTranslatedString  $fail
     * @return void
     */
    public function __invoke($attribute, $value, $fail)
    {
        # @owner - может назначать на всех и на себя
        # @admin - может назначать на employee и на себя
        # @employee - может назначать на себя

        $user = $this->project->users()->firstWhere('users.id', $value);

        if (auth()->user()->isOwner() && !$user && auth()->id() != $value) {
            $fail('Пользователь не принадлежит проекту');
        }

        if (!auth()->user()->isOwner() && !$user) {
            $fail('Пользователь не принадлежит проекту');
        }

        if (auth()->user()->isAdmin() && (auth()->id() !== $user?->id || !$user->isEmployee())) {
            $fail('Можно назначать на себя, либо на сотрудника');
        }

        if (auth()->user()->isEmployee() && auth()->id() !== $user?->id) {
            $fail('Можно назначать только на себя');
        }
    }
}

Версия 2:

class UserAssigneeToOrderRule implements InvokableRule
{
    private Project $project;

    public function __construct (Project $project) {
        $this->project = $project;
    }

    public function __invoke($attribute, $value, $fail)
    {
        # @owner - может назначать заказ на всех сотрудников и на себя
        # @admin - может назначать на @employee и на себя
        # @employee - может назначать на себя

        # привязан ли назначаемый сотрудник к проекту (есть связь в таблице project_user)
        $user = $this->project->users()->firstWhere('users.id', $value);

        if (auth()->user()->isOwner()) {
            # если не на себя или нет связанных пользователей (@admin или @employee)
            if (!(auth()->id() == $value || $user)) {
                $fail('Пользователь не принадлежит проекту');
            }
        } else if (auth()->user()->isAdmin()) {
            # если не на себя или не на сотрудника в роли пользователя от @employee
            if (!(auth()->id() === $user?->id || $user?->isEmployee())) {
                $fail('Можно назначать на себя, либо на сотрудника');
            }
        } else if (auth()->user()->isEmployee()) {
            # если не на себя
            if (!(auth()->id() === $user?->id)) {
                $fail('Можно назначать только на себя');
            }
        }
    }
}

Таблицы:

projects

orders

project_user

Comments

[Дмитрий]

А в чем разница между user_id и тем что у вас в auth()->user()?

[lexstile]

Дмитрий,
auth()->user() - текущий пользователь
user_id - пользователь, на которого нужно назначить заказ

[Дмитрий]

lexstile, ну так права на изменения надо проверять наверное в Policy - а не в request?

[lexstile]

Дмитрий, нет, ему же разрешено другие поля менять в рамках одного запроса.
Как я понимаю, благодаря полиси я могу ограничить доступ ко всему ендпоинту, если я там начну проверять конкретные поля, это уже не очень, кажется.
В полиси по данному роуту есть такая проверка:

# route
Route::patch('/projects/{project}/orders/{order}', 'update')->can('view', 'project');

# policy

    private function isLinked(User $user, Project $project)
    {
        return $project->users()->exists($user->id);
    }

    private function isLinkedOwner(User $user, Project $project) {
        return $user->id === $project->user_id;
    }

    public function view(User $user, Project $project) {
        if ($this->isLinkedOwner($user, $project) || $this->isLinked($user, $project)) {
            return true;
        }

        return false;
    }

[lexstile]

Дмитрий, можно, конечно, и в контроллере вызвать policy и передать нужные поля, но логика будет в любом случае аналогичной или, в крайнем случае, очень похожей