Почему проверка Police в мидлвер не работает?

Question

[Kentavr16]

продолжаю копание в ларавел. Зашел в очередной тупик. есть роуты

Route::prefix("products")->group(function (){
        Route::get("{product}/{cookProcess}",[CookProcessController::class,"show"]);
        Route::post("/{product}/cookProcessCreate",[CookProcessController::class,"store"]);//->middleware('can:create,cookProcess'); !!!это проблемный роут
        Route::delete("{product}/{cookProcess}",[CookProcessController::class,"destroy"])->middleware('can:delete,cookProcess');
        Route::patch("{product}/{cookProcess}",[CookProcessController::class,"update"])->middleware('can:update,cookProcess');
    });

Проблема с Route::post("/{product}/cookProcessCreate"). Если я устанавливаю на него мидлвер, то сервер при попытке взаимодействия возвращает 403 статус. Логировал соответствующую политику - метод create не отрабатывает совсем. При этом если использовать авторизацию не через мидлвер ($this->authorize('create',CookProcess::class)), все отрабатывает нормально. остальные роуты работают и логируются.
Я вообще уже не имею понятия в чем может быть дело.

Политика на всякий случай

<?php

namespace App\Policies;

use App\Models\Product;
use Illuminate\Auth\Access\Response;
use App\Models\CookProcess;
use App\Models\User;
use Illuminate\Support\Facades\Auth;
use Illuminate\Support\Facades\Log;

class CookProcessPolicy
{
    public function viewAny(User $user): bool
    {
        //
    }

    public function view(User $user, CookProcess $cookProcess): bool
    {
        Log::debug("process policyview launched");
        return Auth::check();
    }

    public function create(User $user): bool
    {
        Log::debug("process policy create launched");
        return Auth::check();
    }

    public function update(User $user, CookProcess $cookProcess): bool
    {
        Log::debug("process policyupdate launched");
        return $user->hasPermissionTo('edit notes');
    }

    public function delete(User $user, CookProcess $cookProcess): bool
    {
        Log::debug("process policydelete launched");
        return $user->hasPermissionTo('delete notes');
    }

    public function restore(User $user, CookProcess $cookProcess): bool
    {
        //
    }

    public function forceDelete(User $user, CookProcess $cookProcess): bool
    {
        //
    }
}

и тест которым проверяю

public function test_cook_process_can_be_created(): void
    {
        $this->seed(PermissionsTableSeeder::class);
        $this->seed(RolesTableSeeder::class);
        $user=User::factory()->create();
        $user->assignRole('site_user');
        $this->actingAs($user);
        $product=Product::factory()->create();
        $processData = [
            "name"=>'testname',
            "duration"=>fake()->numberBetween(1,10),
            "cookPresenceInterval"=>fake()->numberBetween(0,5),
            "description"=>fake()->text(50),
            "product_id"=>$product->id
        ];
        $response=$this->post("/api/products/".$product->id . '/cookProcessCreate',$processData);
        $response->assertStatus(200);
        $createdProcess = CookProcess::where('name','testname')->first();
        $this->assertNotNull($createdProcess);
    }

буду благодарен за любую подсказку куда копать.

Comments

[Дмитрий]

А что вы пытаетесь сказать Laravel под термином cookProcess?

[JhaoDa]

Чел, начни нормально офрмлять код и удаляй бесполезные комментарии.

[Kentavr16]

Дмитрий, это имя которое используется в принимающем методе контроллера для поступившей модели. И да, я тупонул, мне ткнули носом в ошибку на оверфлоу.

[Дмитрий]

Kentavr16, ну да - дока вещь полезная

Route::post('/post', function () {
    // The current user may create posts...
})->middleware('can:create,App\Models\Post');

[Kentavr16]

Дмитрий, так вышло что до конца понял то как в этом случае текут данные только задолбав людей на двух ресурсах )

[Kentavr16]

Дмитрий, но тем не менее вопрос почему именно 403 статус ответа, а не более специфическая ошибка. Так же как с прошлым моим вопросом - ошибка аутентификации при том что я ошибся с обработкой response.

[Дмитрий]

Kentavr16, в смысле? А какой вы статус там хотите видеть?

[Kentavr16]

Дмитрий, скорее всего 500 - мидлвар ведь пытается обратиться к модели, которую не передали в обработку

[Kentavr16]

Дмитрий, либо я чего ещё не понимаю, либо иногда по ошибке крайне сложно отловить /понять проблему.

[Сергей delphinpro]

Kentavr16, поставьте laravel-tracy, включите отладу, локальную среду и перехват эксепшенов пакетом tracy. Тогда во время разработки у вас не будет стандартных экранов ошибки. Будут страницы исключений с максимальными подробностями.

[Kentavr16]

Сергей delphinpro, Спасибо большое. То что нужно!

[Дмитрий]

Kentavr16, неееет. у вас есть http коды
40x - это клиент error - мы не можем обработать запрос клиента потому что клиент каким либо образом не прав. утрировано говоря
Из них
401 - нужно авторизоваться что бы получить данные
403 - у клиента правов не хватает.

Вот собственно если вы в тесте отправите без actingAs - у вас должно прилететь 401. Если отправите actingAs пользователя у которого не будет пермишенов на данное действие должны получить 403. Все логично и понятно - клиент сволочь полез туды куды ему не позволено. А если бы правильный клиент полез - он бы получил 20x

А 50x - это когда сервер признается что лох - он.

[Kentavr16]

Дмитрий, вопрос вот в чем -

Route::post("/{product}/cookProcessCreate",[CookProcessController::class,"store"])->middleware('can:create,cookProcess');

здесь в мидлваре я прошу проверить пользователя на наличие прав для создания модели. Согласно соглашению Route Model Binding(спасибо вам же за вчерашнюю наводку в доках) ларавел ожидает, что в методе контроллера как параметр я передам модель

public function store(Request $request, CookProcess $cookProcess)
    {
    /*ларавел поймал из URL запроса id, по параметру увидел что это за модель - все готово для работы*/ 
    }

Меня удивляет то, что когда я пишу вот такой плохой код

Route::post("/{product}/cookProcessCreate",[CookProcessController::class,"store"])->middleware('can:create,cookProcess');

и практически спрашиваю у ларавел "скажи, может ли этот пользователь создавать модель undefined?", это не вызывает исключения. Аутентификация с мордой кирпичем отвечает "нет, у него нет прав",контроллер вообще не в курсе что происходит - ведь неважно, передам я в него параметр с моделью или нет - мне просто ответят что этому пользователю низзя создавать вот ту штуку, незнамо какую.

[Дмитрий]

Kentavr16,

и практически спрашиваю у ларавел "скажи, может ли этот пользователь создавать модель undefined?", это не вызывает исключения.

Не, ларавел будет вести диалог только с клиентом. Вы можете указать ларавелу как реагировать на тот или иной запрос клиента.

Аутентификация с мордой кирпичем отвечает "нет, у него нет прав",

И это логично - потому что правило во всех этих правах в айти простое - запрещено ВСЕ что НЕ РАЗРЕШЕНО. Так как ларавел не может найти Policy под ваш кейс, по каким причинам не важно - он включает синдром вахтера

контроллер вообще не в курсе что происходит - ведь неважно, передам я в него параметр с моделью или нет - мне просто ответят что этому пользователю низзя создавать вот ту штуку, незнамо какую.

И это правильно потому что миддлеваре auth и can выполняются ДО вызова контроллера. Более того до контроллера дело то и не дойдет. Чего за зря вызывать директора из кабинета если на проходной клиент пропуска не имеет.

[Kentavr16]

Дмитрий, хорошая информация к размышлению, спасибо ) Плюс один к интеллекту заработал, как говорится )

[Дмитрий]

Kentavr16, вы воспринимаете Policy под CookProcess как какой то контроллер отсутствие которого приводит к падению приложения и 500 ошибки. А ларка воспринимает Policy как политику которую не прописали - и следовательно всем клиентам запрещено, падать тут не зачем.

Answer 1

[Kentavr16]

Мне ответили на стаковерфлоу. Пропустил момент - в урле роута нужная модель не используется, поэтому в мидлвере нужно явно ее прописать

Route::post("/{product}/cookProcessCreate",[CookProcessController::class,"store"])->middleware('can:create,App\Models\CookProcess');