Laravel: Différence entre le middleware de route et la politique

Je passe actuellement par un petit refactor avec mes rôles, autorisations et itinéraires et me suis posé la même question.

Au niveau de la surface, il semble que le véritable middleware et les politiques aient la même idée générale. Vérifiez si un utilisateur peut faire ce qu'il fait.

Pour référence, voici les documents laravel ...

Middleware "Puis-je voir cela? Puis-je aller ici?"

L'intergiciel HTTP fournit un mécanisme pratique pour filtrer les requêtes HTTP entrant dans votre application. Par exemple, Laravel inclut un middleware qui vérifie que l'utilisateur de votre application est authentifié. Si l'utilisateur n'est pas authentifié, le middleware redirigera l'utilisateur vers l'écran de connexion. Cependant, si l'utilisateur est authentifié, le middleware permettra à la demande d'aller plus loin dans l'application.

Bien sûr, un middleware supplémentaire peut être écrit pour effectuer une variété de tâches en plus de l'authentification. Un middleware CORS peut être chargé d'ajouter les en-têtes appropriés à toutes les réponses quittant votre application. Un middleware de journalisation peut consigner toutes les demandes entrantes dans votre application.

https://laravel.com/docs/master/middleware#introduction

À mon avis, le middleware consiste à fonctionner au niveau de la demande. Dans les termes de "Cet utilisateur peut-il voir une page?", Ou "Cet utilisateur peut-il faire quelque chose ici?"

Si c'est le cas, il passe à la méthode du contrôleur associée à cette page. Chose intéressante, Middleware peut dire: "Oui, vous pouvez y aller, mais je vais écrire que vous y allez." Etc.

Une fois que c'est fait. Il n'a plus de contrôle ou de dire ce que fait l'utilisateur. Une autre façon dont je pense à lui en tant qu'intermédiaire.

Politiques "Puis-je faire cela? Puis-je changer cela?"

En plus de fournir des services d'authentification prêts à l'emploi, Laravel fournit également un moyen simple d'organiser la logique d'autorisation et de contrôler l'accès aux ressources. Il existe une variété de méthodes et d'aides pour vous aider à organiser votre logique d'autorisation, et nous allons couvrir chacun d'eux dans ce document.

https://laravel.com/docs/master/authorization#introduction

Cependant, les politiques semblent être plus préoccupées par faire. L'utilisateur peut-il mettre à jour n'importe quelle entrée, ou seulement la leur?

Ces questions semblent adaptées à une méthode de contrôleur où tous les appels à l'action sur une ressource sont organisés. Récupérez cet objet, stockez ou mettez à jour l'article.

Comme mentionné par tjbb , le middleware peut rendre les routes très compliquées et difficiles à gérer. Voici un exemple de mon fichier de routes:

Le problème

    Route::group(['middleware' =>'role:person_type,person_type2',], function () {
        Route::get('download-thing/{thing}', [
             'as' => 'download-thing', 
             'uses' => 'ThingController@download'
        ]);
    }); 

Cela devient très difficile à lire dans mon fichier d'itinéraire!

Une autre approche avec des politiques

//ThingController
public function download(Thing $thing)
{
    //Policy method and controller method match, no need to name it
    $this->authorize($thing);

    //download logic here....
}