原文地址：https://josephsilber.com/index.php/posts/2016/08/03/authorization-improvements-in-laravel-5-3#table-of-contents

閱讀完Laravel中認證的改進后，讓我們來看看Laravel5.3中授權的改進吧。

注意:

以下將要說明的幾個特點，在5.2的版本中已經被介紹過。但是，這些特點在5.3中被稍稍改進，我們會在這里討論它們。

Laravel授權入門

如果你已經對Laravel的授權系統很熟悉了，你可以跳過這一節。

Laravel的授權主要圍繞2個主要概念來實現：

1.Gates

Gate即決定誰擁有進行什么操作的功能權限（誰可以做什么）。使用Gate去注冊用戶的操作權限，之后核對Gate此用戶是否可以進行給定操作。

2.Policy

Policy負責檢查單個模型的操作權限。對于系統中每個你想要完成授權的模型，你都需要對應的Policy。

為了弄明白他們是怎么一起起作用的，我們通過命令

php artisan make:policy TaskPolicy

生成一個假定模型Task。生成后，我們添加一個檢查用戶是否可以更新給定task的簡單的更新方法：

namespace App\Policies;

use App\Task;

use App\User;

class TaskPolicy{

? ? public function update(User $user, Task $task){

? ? ? ? return $user->id === $task->user_id;

? ? }

}

接下來我們應該向將Policy添加到AuthServiceProvider的Policy以注冊到Gate：

protected $policies = [

? ? \App\Task::class => \App\Policies\TaskPolicy::class,

];

AuthServiceProvider會將Policy注冊到Gate。現在開始，所以對模型Task的授權檢查都會指向Task Policy。

為了說明，我們新建一個更新給定task的簡單路由：

Route::put('tasks/{task}', function (App\Task $task) {

? ? abort_unless(Gate::allows('update', $task), 403);

? ? $task->update(request()->input());

});

我們會檢查Gate來看是否允許用戶更新給定task。Gate會傳遞當前認證用戶以及給定task到Policy中的update方法（如果用戶沒有登錄，Gate會自動拒絕所有權限詢問），如果未授權，我們會以403狀態終止。

（另外，難道你沒愛上abort_unless這個方法嗎？我指的是，看一下它！讀起來就好像明白了：“除非Gate允許更新task否則程序將終止”。這就是名副其實最好用的Laravel）

輕松地在控制器中授權請求

Laravel中的控制器使用AuthorizesRequests trait來輕松地為任意請求授權。你可以在控制器里調用授權方法，它將在Gate中核對權限。如果沒有權限，請求將會自動以403響應終止。

我們來看一個控制器的案例：

use App\Task;

class TaskController

{

? ? ? ? public function update(Task $task)

? ? ? ? {

? ? ? ? ? ? ? ?$this->authorize('update', $task);

? ? ? ? ? ? ? ?$task->update(request()->input());

? ? ? ? ?}

}

和之前一樣，Gate將“請教”Policy的update方法并返回它的結果。

（未完待續）

。