destroy 方法里的 授权策略 是不是多余的?

我们在视图里使用了 Blade 命令 @can('delete', $user)

UserPolicy 策略里的 destroy() 方法已经做出了判断:

public function destroy(User $currentUser, User $user)
{
    return $currentUser->is_admin && $currentUser->id !== $user->id;
}

这里的 $currentUser->is_admin 不就已经可以让普通用户不显示删除按钮了吗?

想问的问题是:

  1. UsersController 里的 destroy() 方法里的 $this->authorize() 是不是不加也可以?
  2. 如果加,有什么充分的理由吗?
  3. 如果不加,会有什么影响吗?
  4. 最佳实践是哪种呢?

其实我觉得加了更安全,不过一方面是用更少的代码达到相同的效果,一方面是看起来更安全的可能是画蛇添足,取舍不下。

小时候,幸福是一件很简单的事;长大了,简单是一件很幸福的事。
《L05 电商实战》
从零开发一个电商项目,功能包括电商后台、商品 & SKU 管理、购物车、订单管理、支付宝支付、微信支付、订单退款流程、优惠券等
《L04 微信小程序从零到发布》
从小程序个人账户申请开始,带你一步步进行开发一个微信小程序,直到提交微信控制台上线发布。
你看我吊吗啊
最佳答案

@Soldoros 你还较真了,很多工具都可以模拟post、delete请求的 自己百度吧。

5年前 评论
讨论数量: 8
你看我吊吗啊

@Soldoros 你还较真了,很多工具都可以模拟post、delete请求的 自己百度吧。

5年前 评论
你看我吊吗啊

你这段代码只是不显示删除按钮,但是用户可以尝试直接在浏览器地址栏 去访问删除操作的函数的,策略里是防止这个。

5年前 评论
月光

@JeffLi 提交方式是 DELETE ,需要 POST 方式提交吧,地址栏怎么能提交?

5年前 评论
你看我吊吗啊

@Soldoros 你还较真了,很多工具都可以模拟post、delete请求的 自己百度吧。

5年前 评论
你看我吊吗啊

@Soldoros

file 你是用手机回复的吗。。

5年前 评论
月光

@JeffLi 嗯呢,没想到这个样子,一个大拇指

5年前 评论
你看我吊吗啊

采纳我的答案,不然还有人进来看问题

5年前 评论

讨论应以学习和精进为目的。请勿发布不友善或者负能量的内容,与人为善,比聪明更重要!