Verifique la autorización con políticas antes de eliminar la función

 

En este tutorial queremos configurar la capacidad de los usuarios autorizados para eliminar cualquier respuesta que hayan creado. Además, los invitados o los usuarios no autorizados no deberían poder eliminar ninguna respuesta. Entonces, como de costumbre, configuraremos un par de pruebas para admitir estas nuevas funciones. Además, aprovecharemos un nuevo objeto de política para determinar si algún usuario en particular está autorizado a eliminar una respuesta determinada. Por último, actualizaremos el lado de la vista para mostrar la opción de eliminar una respuesta de los usuarios autorizados.

---

Prueba de usuarios no autorizados

Primero, abramos la clase de prueba ParticipateInForumTest.php que tenemos y agreguemos una nueva prueba. Podemos llamarlo test_unauthorized_users_can_not_delete_replies (). La lógica es bastante simple. Dado que hay una respuesta y un invitado intenta eliminar esa respuesta, el usuario debe ser redirigido a la página de inicio de sesión. Aquí hay una primera oportunidad de esa prueba.

1 2 3 4 5 6 7 8 9

public function test_unauthorized_users_can_not_delete_replies() {     $this->withoutExceptionHandling();          $reply = create('App\Reply');       $this->delete('/replies/' . $reply->id)         ->assertRedirect('/login'); }

Ejecutar la prueba nos da una NotFoundHttpException que generalmente es una ruta faltante.

vagrant @ homestead: ~ / Code / forumio $ phpunit --filter test_unauthorized_users_can_not_delete_replies
PHPUnit 6.5.5 por Sebastian Bergmann y colaboradores.

E 1/1 (100%)

Tiempo: 849 ms, memoria: 8,00 MB

Hubo 1 error:

1) Tests \ Feature \ ParticipateInForumTest :: test_unauthorized_users_can_not_delete_replies
Symfony \ Component \ HttpKernel \ Exception \ NotFoundHttpException: DELETE http: // localhost / replies / 1

---

Agregar la ruta

Registramos una solicitud de eliminación en / replies / {reply} que activará el método destroy () en el RepliesController.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20

<?php   Route::get('/', function () {     return view('welcome'); });   Auth::routes();   Route::get('/home', 'HomeController@index')->name('home');   Route::get('/threads', 'ThreadsController@index'); Route::get('/threads/create', 'ThreadsController@create'); Route::get('/threads/{channel}/{thread}', 'ThreadsController@show'); Route::delete('/threads/{channel}/{thread}', 'ThreadsController@destroy'); Route::post('/threads', 'ThreadsController@store'); Route::get('/threads/{channel}', 'ThreadsController@index'); Route::post('/threads/{channel}/{thread}/replies', 'RepliesController@store'); Route::delete('/replies/{reply}', 'RepliesController@destroy'); Route::post('/replies/{reply}/favorites', 'FavoritesController@store'); Route::get('/profiles/{user}', 'ProfilesController@show')->name('profile');

---

Modificar la prueba

Supongamos que un usuario ha iniciado sesión. En este caso, la prueba podría verse así.

1 2 3 4 5 6 7 8 9 10

public function test_unauthorized_users_can_not_delete_replies() {     $this->withoutExceptionHandling();       $reply = create('App\Reply');       $this->signIn()         ->delete('/replies/' . $reply->id)         ->assertStatus(403); }

Si ejecutamos la prueba, ahora obtendremos una BadMethodCallException. Esto se debe a que todavía necesitamos crear el método destroy () en el RepliesController.

vagrant @ homestead: ~ / Code / forumio $ phpunit --filter test_unauthorized_users_can_not_delete_replies
PHPUnit 6.5.5 por Sebastian Bergmann y colaboradores.

E 1/1 (100%)

Tiempo: 821 ms, memoria: 8,00 MB

Hubo 1 error:

1) Tests \ Feature \ ParticipateInForumTest :: test_unauthorized_users_can_not_delete_replies
BadMethodCallException: el método [destroy] no existe en [App \ Http \ Controllers \ RepliesController].

---

Añadiendo el método destroy ()

Abra RepliesController.php y podemos agregar el código para completar nuestro objetivo.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36

<?php   namespace App\Http\Controllers;   use App\Reply; use App\Thread; use Illuminate\Http\Request;   class RepliesController extends Controller {     public function __construct()     {         $this->middleware('auth');     }       public function store($channelId, Thread $thread)     {         $this->validate(request(), [             'body' => 'required'         ]);           $thread->addReply([             'body' => request('body'),             'user_id' => auth()->id()         ]);           return back();     }       public function destroy(Reply $reply)     {         $reply->delete();           return back();     } }

Ahora podemos ejecutar la prueba una vez más.

vagrant @ homestead: ~ / Code / forumio $ phpunit --filter test_unauthorized_users_can_not_delete_replies
PHPUnit 6.5.5 por Sebastian Bergmann y colaboradores.

F 1/1 (100%)

Tiempo: 920 ms, memoria: 10,00 MB

Hubo 1 falla:

1) Tests \ Feature \ ParticipateInForumTest :: test_unauthorized_users_can_not_delete_replies
Código de estado esperado 403 pero recibido 302.
No se pudo afirmar que lo falso es verdadero.

/home/vagrant/Code/forumio/vendor/laravel/framework/src/Illuminate/Foundation/Testing/TestResponse.php:78
/home/vagrant/Code/forumio/tests/Feature/ParticipateInForumTest.php:53

¡FALLOS!
Pruebas: 1, afirmaciones: 1, fallos: 1.

Lo que está sucediendo ahora es que durante la prueba, la respuesta se está eliminando pero no hemos aplicado ninguna autorización. Tal como está ahora en la prueba, el usuario inicia sesión y luego intenta eliminar una respuesta que él o ella no creó. La respuesta debería ser un estado prohibido de 403. Podemos habilitar esto usando un nuevo objeto de política . Haremos esto en un momento, pero primero agreguemos otra prueba.

---

Prueba de usuarios autorizados

La prueba para usuarios autorizados se verá así.

1 2 3 4 5 6 7 8 9 10

public function test_authorized_users_can_delete_replies() {     $this->signIn();       $reply = create('App\Reply', ['user_id' => auth()->id()]);       $this->delete('/replies/' . $reply->id)->assertStatus(302);       $this->assertDatabaseMissing('replies', ['id' => $reply->id]); }

---

Configurar una nueva política

Agreguemos ese nuevo objeto de política para determinar si un usuario puede eliminar una respuesta o no. Empezaremos construyéndolo así.

vagrant @ homestead: ~ / Code / forumio $ php artisan make: policy ReplyPolicy
Política creada con éxito.

Ahora simplemente agregamos el método de actualización donde especificamos que para que un usuario pueda eliminar una respuesta, su identificación de usuario debe coincidir con la identificación de usuario que se encuentra en la respuesta en cuestión. Por supuesto, esto significa que el hilo les pertenece, por lo que pueden eliminarlo.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17

<?php   namespace App\Policies;   use App\Reply; use App\User; use Illuminate\Auth\Access\HandlesAuthorization;   class ReplyPolicy {     use HandlesAuthorization;       public function update(User $user, Reply $reply)     {         return $reply->user_id = $user->id;     } }

Una vez completado, asegúrese de registrar la nueva política en AuthServiceProvider. La línea resaltada muestra nuestra adición para el registro de la política de respuesta que acabamos de crear. Tal vez recuerde que cuando creamos una política de subprocesos en un tutorial anterior, el registro de esa política está justo encima de la línea resaltada.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37

<?php   namespace App\Providers;   use function foo\func; use Illuminate\Support\Facades\Gate; use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;   class AuthServiceProvider extends ServiceProvider {     /**      * The policy mappings for the application.      *      * @var array      */     protected $policies = [         //'App\Model' => 'App\Policies\ModelPolicy',         'App\Thread' => 'App\Policies\ThreadPolicy',         'App\Reply' => 'App\Policies\ReplyPolicy',     ];       /**      * Register any authentication / authorization services.      *      * @return void      */     public function boot()     {         $this->registerPolicies();           Gate::before(function ($user) {             if ($user->name === 'Nikola Tesla') {                 return true;             }         });     } }

Ahora puede autorizar una actualización de la respuesta en el método destroy () del RepliesController como lo hacemos aquí.

1 2 3 4 5 6 7 8

public function destroy(Reply $reply) {     $this->authorize('update', $reply);       $reply->delete();       return back(); }

Nuestras pruebas finales para estas funciones son las siguientes:

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22

public function test_unauthorized_users_can_not_delete_replies() {     $reply = create('App\Reply');       $this->delete('/replies/' . $reply->id)         ->assertRedirect('/login');       $this->signIn()         ->delete('/replies/' . $reply->id)         ->assertStatus(403); }   public function test_authorized_users_can_delete_replies() {     $this->signIn();       $reply = create('App\Reply', ['user_id' => auth()->id()]);       $this->delete('/replies/' . $reply->id)->assertStatus(302);       $this->assertDatabaseMissing('replies', ['id' => $reply->id]); }

Ejecutar el conjunto completo de esta clase de prueba confirma que todo está funcionando.

vagrant @ homestead: ~ / Code / forumio $ phpunit --filter ParticipateInForumTest
PHPUnit 6.5.5 por Sebastian Bergmann y colaboradores.

..... 5/5 (100%)

Tiempo: 1,88 segundos, memoria: 14,00 MB

OK (5 pruebas, 10 afirmaciones)

---

Agregar el botón Eliminar en el navegador

Ok, parece que toda la funcionalidad está funcionando bien para los usuarios autorizados y no autorizados con respecto a la eliminación de respuestas. Podemos actualizar la vista reply.blade.php para permitir eso. A continuación, se resalta el marcado para proporcionar el botón de eliminar. Además, dado que usamos políticas, podemos hacer uso de esa útil directiva @can para mostrar el botón solo a un usuario que está autorizado a eliminar una respuesta específica. Por lo tanto, los invitados nunca verán un botón de eliminación, pero los usuarios autorizados verán un botón de eliminación para sus propias respuestas.

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35

<div id="reply-{{ $reply->id }}" class="panel panel-default">       <div class="panel-body">         <div class="level">             <h5 class="flex">                 <a href="{{ route('profile', $reply->owner) }}">                     {{$reply->owner->name}}                 </a> said {{ $reply->created_at->diffForHumans() }}             </h5>               <div>                 <form method="POST" action="/replies/{{$reply->id}}/favorites">                     {{csrf_field()}}                     <button type="submit" class="btn btn-primary {{ $reply->isFavorited() ? 'disabled' : '' }}">                         {{ $reply->favorites_count }} {{ str_plural('Favorite', $reply->favorites_count) }}                     </button>                 </form>             </div>         </div>     </div>       <div class="panel-body">         {{ $reply->body }}     </div>       @can('update', $reply)         <div class="panel-footer">             <form method="POST" action="/replies/{{$reply->id}}">                 {{ csrf_field() }}                 {{ method_field('DELETE') }}                 <button class="btn btn-danger btn-xs">Delete Reply</button>             </form>         </div>     @endcan </div>

El usuario que inició sesión ahora ve un botón de eliminar para su respuesta.

Después de hacer clic en el botón Eliminar, podemos ver que la respuesta se ha ido. Además, tenga en cuenta que no hay respuestas de este usuario. Por lo tanto, ya ni siquiera vemos el botón de eliminar en las respuestas restantes al hilo.

---

Verifique la autorización con políticas antes de eliminar el resumen de la función

Por lo tanto, aquí se proporcionó un ejemplo bastante sencillo del uso de un objeto de política para asegurarse de que un usuario esté autorizado a eliminar una respuesta a un hilo. Ya habíamos configurado un objeto de política durante el tutorial en el que configuramos la capacidad de eliminar hilos, por lo que esto fue un poco de revisión, pero aún así fue útil para reforzar nuestro aprendizaje.