Авторизация действий над определенными полями на основе ролей и разрешений

Использую пакет spatie-permission, Laravel 11.У юзера есть permission формата entity.action.value, например - order.edit.description(редактировать описание заказа) или order.see.Accepted (видеть заказы со статусом Accepted). У меня появились две идеи как это авторизовать: первая - написать кастомное правило валидации и применить к каждому полю в FormRequset:

public function validate(string $attribute, mixed $value, Closure $fail): void
{
        if (!Gate::allows($this->action,[$attribute,auth()->user()])){
            $fail('You do not have permission to interact with this field.');
        }
}

Gate:

Gate::define('order-edit-field', function (User $user,string $attribute): bool {
            return (in_array($attribute,$user->convertPermissionToValue('order.edit')) || $user->isAdmin());
        });

Идея в чем - все разрешения обрезаются с помощью convertPermissionToValue() до value , и это value сравнивается с пришедшем с реквеста полем.

Вторая мысль - через политики:

public function update(User $user, Order $order,array $data): bool
{
     if ($user->isAdmin()){
        return true;
    }

    $fields = $user->convertPermissionToValue('order.edit');
    $statuses = $user->convertPermissionToValue('order.view');
    return in_array($order->status,$statuses)
        && array_reduce(array_keys($data),function ($accum, $item ) use ($fields){
                return in_array($item,$fields) && $accum;
           },true);
}

Сравнивается .value и fields реквеста, если какого то field нет в value - 403. Таким же образом проверяются любые действия над сущностями - permissions обрезаются до value, value сравнивается с полями ,со статусами, и вообще с чем угодно ,над чем нужно будет совершить action.

В чем собственно говоря вопрос: хоть один из этих вариантов - так вообще норм делать ? Сколько бы не гуглил, я не смог найти как именно организовать авторизацию действий над конкретными полями. Есть какие примеры реализации такого, как бы это вы сделали, где разумно было бы делать подобные проверки, хорошая ли вообще идея с convert разрешений, рабочая ли идея с такими составными permission. Буду ооочень благодарен за любую помощь или подсказку, ибо я новичок и даже те два примера выше выдались огромными нервозатратами)


Ответы (0 шт):