Laravel通过Policy类实现细粒度权限控制，首先使用artisan命令创建PostPolicy并注册到AuthServiceProvider；在PostPolicy中定义edit等方法，判断用户是否为文章作者；控制器中调用$this->authorize('edit', $post)触发授权检查；Blade模板使用@can指令控制编辑按钮显示；Gate门面可在任意位置通过Gate::allows或denies手动校验权限。

如果您在开发 Laravel 应用时需要对用户访问特定资源进行权限控制，可以使用 Laravel 提供的 Policy 类来实现细粒度的授权管理。通过定义策略类中的方法，您可以判断当前用户是否有权执行某项操作。

本文运行环境：MacBook Pro，macOS Sonoma

一、创建并注册 Policy 类

Policy 是 Laravel 中用于封装授权逻辑的类，通常对应某个模型。通过 Artisan 命令可快速生成 Policy，并将其自动注册到应用中。

1、在终端执行命令 php artisan make:policy PostPolicy --model=Post 以生成与 Post 模型关联的策略类。

2、打开 app/Policies/AuthServiceProvider.php 文件，确保刚生成的 Policy 已在 $policies 数组中注册，例如：
'Post::class' => PostPolicy::class。

二、定义授权方法

在 Policy 类中定义具体的授权规则方法，每个方法接收用户实例和目标模型实例作为参数，返回布尔值表示是否授权。

1、打开生成的 PostPolicy.php 文件，在类中添加方法如 edit()、delete() 等。

2、在 edit 方法中编写逻辑，例如：
public function edit(User $user, Post $post)
{
  return $user->id === $post->user_id;
}

3、该方法表示只有文章作者才能编辑文章内容。

三、在控制器中调用 authorize 方法

控制器中可通过调用 authorize() 方法触发 Policy 授权检查，若未通过则自动抛出 403 异常。

1、在控制器方法中先获取对应的模型实例，例如 $post = Post::findOrFail($id);。

2、调用 $this->authorize('edit', $post) 来检查当前用户是否有编辑权限。

3、如果用户无权操作，Laravel 会自动返回 403 Forbidden 响应。

四、在 Blade 模板中使用 Can 指令

Blade 模板支持使用 @can 指令根据 Policy 规则控制 UI 元素的显示，提升用户体验。

1、在视图文件中使用 @can('update', $post) 开始条件区块。

2、在此区块内显示“编辑”或“删除”按钮，例如：
id%20%7D%7D/edit">编辑

3、使用 @endcan 结束条件判断，确保非授权用户无法看到敏感操作入口。

五、通过门面 Gate 手动检查权限

Gate 门面提供了在任意位置手动检查授权状态的能力，适用于非控制器场景。

1、在路由中间件、任务调度或 API 路由中使用 Gate::allows('delete', $post) 进行判断。

2、也可使用 Gate::denies() 检查是否被拒绝。

3、结合条件语句执行不同逻辑，例如跳转页面或记录日志。