Где проверять права доступа?

Question

[Danbka]

Привет.

Разные группы пользователей могут выполнять разные действия с записями:

Администратор: добавление/изменение/удаление
Менеджер: изменение

Где правильно проверять права доступа? Пока сделал в контроллере, но выглядит не очень:

public function create()
{
	if (!Bouncer::allows('can_add_record')) {
		App::abort(403, 'Доступ запрещен');
	}
...
}

public function store(StoreRecordRequest $request)
{
	if (!Bouncer::allows('can_add_record')) {
		App::abort(403, 'Доступ запрещен');
	}
...
}

Плюс, например, при изменении записи необходимо проверять, что менеджер может изменять только "свои" записи.

Куда лучше вынести такие проверки? Middleware вроде бы не очень подходит для этих целей.

Answer 1

[metallix]

Можно и в middleware, но я предпочитаю policies (политики)

Comments

[Danbka]

Спасибо, этот вариант подходит больше всего. Хочу у Вас уточнить, насколько правильно делать вот так в контроллере:

public function create()
{
	if (!Auth::user()->can('create', Record::class)) {
		App::abort(403, 'Доступ запрещен');
	}
        ...
}

А в самой RecordPolicy разруливаются права доступа.

[metallix]

Выглядит вполне нормально

[Alex Wells]

Марис, ужасно. Политики подходят, если вы хотите каждый раз вручную писать вышеописанный код, но стоит ли?

В контроллерах есть метод authorize, который вызывает гейт, который вызывает политику, который вызывает bouncer, так что весь ваш код можно упростить:

$this->authorize('create', Record::class)

Либо Gate::allows внутри метода authorize formRequest'а для нужного раута.

Answer 2

[Antonio Solo]

именно middleware и подходит