Configuración de Políticas de Acceso en Repositorios

Clase 11 de 23 • Curso de Desarrollo en Laravel con Test Driven Development

Contenido del curso

Introducción

Proyecto

Póliticas de Acceso

Vistas del proyecto

Refactorización

Conclusión

23
Importancia de las Pruebas en Desarrollo de Software
05:18 min

Tomar examen

Resumen

Proteger los recursos de tu aplicación para que solo su dueño pueda modificarlos o eliminarlos es una práctica fundamental en cualquier sistema web. Aquí se aborda cómo implementar una política de acceso sencilla utilizando una comparación de IDs y el helper abort, respaldando todo el proceso con un test automatizado.

¿Qué es una política de acceso y por qué la necesitas?

Una política de acceso es, en esencia, una regla que define quién puede realizar determinada acción sobre un recurso. En este caso, la regla es clara: solo el usuario que creó un repositorio puede actualizarlo o eliminarlo. Esto impide que otros usuarios modifiquen o borren repositorios ajenos.

La implementación parte de un if que compara el ID del usuario autenticado con el campo user_id almacenado en el repositorio. Si no coinciden, el sistema responde con un estado HTTP 403 [02:50].

¿Cómo funciona el estado HTTP 403?

El código de estado 403 Forbidden indica que el servidor entiende la solicitud, pero se niega a autorizarla. A diferencia de un 401 (Unauthorized), donde el problema es la autenticación, el 403 comunica que el usuario está autenticado pero no tiene permiso para ejecutar esa acción [02:56].

En la práctica, cuando un usuario intenta actualizar un repositorio que pertenece a otra persona, el servidor detiene la operación y devuelve este estado.

¿Cómo se implementa la validación en el controlador?

Dentro del método de actualización del controlador, justo después de la validación de datos, se agrega la siguiente lógica [03:30]:

php if (auth()->user()->id !== $repository->user_id) { abort(403); }

Se obtiene el ID del usuario autenticado mediante auth()->user()->id.
Se compara con el user_id del repositorio que se intenta modificar.
Si son diferentes, se ejecuta abort(403), que lanza inmediatamente una respuesta HTTP 403.
Si son iguales, la condición no se cumple y el flujo continúa con la actualización normal.

El helper abort() es una función que dispara estados HTTP de error de forma directa, deteniendo la ejecución del código restante.

¿Por qué el test recibía un 302 en lugar de un 403?

Antes de aplicar la política, al intentar actualizar un repositorio ajeno, el sistema respondía con un 302 (redirect) [03:10]. Esto ocurría porque la redirección era el comportamiento natural tras una actualización exitosa. Sin la verificación de propiedad, el sistema simplemente procesaba la solicitud sin restricciones.

¿Cómo se ajusta el test de actualización?

Al introducir la política, el test original de actualización también se rompe, porque el factory crea un usuario diferente al usuario autenticado [04:20]. La corrección consiste en:

Crear primero el usuario que se va a autenticar.
Crear el repositorio asignándole ese mismo usuario mediante el factory con datos personalizados.

php $user = User::factory()->create(); $repository = Repository::factory()->create(['user_id' => $user->id]);

De esta forma, el usuario autenticado y el dueño del repositorio coinciden, y el test de actualización legítima vuelve a pasar correctamente.

¿Qué papel juega el factory en este contexto?

El factory de repositorios está configurado para crear automáticamente un nuevo usuario cada vez que genera un repositorio [01:50]. Esto significa que, sin personalización, el usuario autenticado (ID 1) y el dueño del repositorio (ID 2) serán personas distintas. Pasar el user_id de forma explícita al factory resuelve este desacople.

¿Cómo queda la cobertura de tests?

Al ejecutar todos los tests, se validan dos escenarios complementarios [05:10]:

Política de acceso: un usuario no puede actualizar un repositorio que no le pertenece y recibe un 403.
Actualización legítima: el dueño del repositorio puede actualizarlo sin problemas.

Ambos tests pasan satisfactoriamente, lo que confirma que la lógica está respaldada por pruebas automatizadas. En próximas iteraciones se refinará este código para hacerlo más robusto, pero lo esencial ya está funcionando y protegido.

¿Has implementado políticas de acceso de otra forma en tus proyectos? Comparte tu experiencia en los comentarios.

Comentarios

Fabricio Bencomo

student•

Una forma que uso es crear un policy directamente en este caso

php artisan make:policy RepositoryPolicy --model=Repository

en la carpeta app/policies encontraremos nuestro policies nos sirven para proteger las vistas y metodos en este caso vamos al de update

    public function update(User $user, Repository $repository)
    {
        return $user->id === $repository->user_id;
    }

nos dirigimos al controlador RepositoryController y vamos a nuestro metodo update y en la primera linea colocamos

$this->authorize('update', $repository);

es mas largo pero los archivos policies sirven para todos los metodos los controladores y al final nos queda mas limpio nuestro controlador

José Reinaldo Duque Serna

student•

Excelente! Muchas gracias por la información. Me fue de gran ayuda! 👌

Mariano Gastón Paduani

student•

muchas gracias!

Carlos Eduardo Gomez García

teacher•

Se me ocurre que también podríamos agregar un middleware que se encargue específicamente de esta validación 🤔 Son ideas alternativas que podemos usar al momento de solucionar un problema, usualmente suele ser una buena práctica hacer validaciones en los middlewares antes de llegar a los controladores :D

Martin Campos

student•

Así es, el controlador tiene sus tareas especificas por fuera de la seguridad

Así luciría mas o menos el código del Middleware, se lo implemente al proyecto del curso de Single Page Aplicación con Laravel e Inertia.

    public function handle(Request $request, Closure $next)
    {
        if (isset($request->note))
            if ($request->user()->id != $request->note->user_id)
                return redirect()->route('notes.index')
                    ->with('warning', 'Action not allowed, you can manage only your notes.');
        return $next($request);
    }

Y este mismo Middleware tendría su propio Test, haciendo request con un usuario no propietario.

Irving Caamal

student•

Excelente aporte chicos.

Brian Sánchez Izquierdo

student•

Otra manera de acceder al objeto usuario que está haciendo el request es con Auth::user() donde puedes encadenar cualquier método proveído que exista, claro está.

Jimmy Buriticá Londoño

student•

Cómo lo harías?

Brian Sánchez Izquierdo

student•

Siguiendo el ejemplo de la clase, la siguiente sentencia es equivalente a la usada por el profesor:

Auth::user()->id

esto nos permite acceder al id del usuario que está loggeado y realiza la solicitud.

Gustavo Eduardo Navarro Rodríguez

student•

El tema de la validación lo puedes realizar utilizando los Form Request de la siguiente forma:

public function authorize()
    {
        $repository = Repository::find($this->route('repository'));

        return $repository && $this->user()->can('update', $repository);
    }

Más info: Authorizing form request.

De esta forma evitamos tener toda esta lógica en nuestros controladores y aprovechamos al máximo los form request validators. Saludos!.

Mariano Gastón Paduani

student•

Muy bueno, muchas gracias!

Victor Gomez

student•

Muchas gracias por el aporte

Gustavo Eduardo Navarro Rodríguez

student•

En el caso concreto de esta clase el código del authorize quedaría de la siguiente manera:

public function authorize()
    {
        return $this->user()->id == $this->repository->user_id;
    }

Recordemos que según la documentación si nuestra validación retorna falso, nos retorna 403:

If the authorize method returns false, an HTTP response with a 403 status code will automatically be returned and your controller method will not execute.

Saludos!.

Adrian Peralta

student•

php artisan test --filter test_update_policy

Modificaciones:

tests/Feature/Http/Controllers/RepositoryControllerTest.php
- ==test_update_policy==
- ==test_update==
app/Http/Controllers/RepositoryController.php

Tests:

Crear usuario y repositorio(diferente user_id), intentar actualizar el repositorio siendo otro usuario(no dueño), retorna status 403
Actualizar test anterior (usuario dueño de repo)

Jorge Bou-saad

student•

Dejo aqui mi commit de la clase

https://github.com/jlbousing/practica-tdd/commit/5d6ff7ab5212c951777e4867ed12cc0f67f22eae

Otra cosa, tambien se pudo haber utilizado Auth::user()->id para sacar el usuario autenticado. Sin embargo, me gusta mas como Italo lo hizo.

Guillermo Mata

student•

Otra manera de hacerlo, es tomando al usuario que se crea por el repositorio, es decir: $user = $repository->user;

Pero en lo personal me gusta más la implementación de politicas por Laravel

    public function handle(Request $request, Closure $next)
    {
        if (isset($request->note))
            if ($request->user()->id != $request->note->user_id)
                return redirect()->route('notes.index')
                    ->with('warning', 'Action not allowed, you can manage only your notes.');
        return $next($request);
    }

Configuración de Políticas de Acceso en Repositorios

Introducción

Desarrollo de Aplicaciones en Laravel con TDD y PHP Unit

Desarrollo de Proyectos con TDD en Laravel y Testing PHP

Proyecto

Instalación y configuración inicial de proyectos en Laravel

Configuración de Relaciones y Pruebas Unitarias en Laravel

Configuración de Relaciones en Laravel usando Testing

Protección de Rutas en Laravel con Middleware de Autenticación

Pruebas Automatizadas para Registro y Redirección en Base de Datos

Configuración de Actualización de Registros con Pruebas en PHP

Validación de Datos en Controladores: Configuración y Pruebas

Eliminación de Registros en Base de Datos con PHP y Tests

Póliticas de Acceso