Gate和Policy本质是同一授权机制的两种写法：Gate为函数式定义，Policy为面向类封装；Laravel将Policy方法注册为Gate，统一由Gate解析器处理，选择依据是组织清晰性与可维护性。

Gate

和 Policy 本质是同一套授权机制的两种写法

Gate 是函数式定义权限逻辑，Policy 是面向类的封装。Laravel 内部把所有 Policy 方法都注册为 Gate，调用 can() 或 @can 时，底层统一走 Gate 解析器。选哪个不取决于“能不能”，而在于“怎么组织更清晰、可维护”。

什么时候该用 Gate？

适合简单、全局、无模型绑定或跨模型的权限判断，比如后台是否允许访问某个管理页、用户能否导出报表等与具体数据实例无关的场景。

• 权限逻辑只依赖当前用户（$user）和少量硬编码参数，不涉及 Eloquent 模型实例
• 需要动态注册（如从数据库读取权限规则），或权限名不固定（如 "manage-{$module}"）
• 多个模型共用同一判断逻辑（例如：所有带 is_public 字段的模型都允许游客查看）
• Policy 不好表达的边界情况，比如判断用户是否在某个 Slack 工作区有对应角色

Gate::define('export-reports', function ($user) {
    return $user->hasRole('admin') || $user->department === 'finance';
});

什么时候该用 Policy？

Policy 是为「对某个模型实例做 CRUD 级别控制」量身设计的。只要你的授权逻辑围绕一个具体的 Eloquent 模型（比如 Post、Comment）展开，且方法名能映射到标准操作（view、update、delete），就该优先用 Policy。

• 授权判断强依赖模型实例（例如：作者才能编辑自己的 Post）
• 同一个模型有多个相关权限（view、update、restore、forceDelete），用 Policy 聚合更易读
• 团队协作中希望权限逻辑和模型物理位置靠近（app/Policies/PostPolicy.php 与 app/Models/Post.php 对应）
• 需要利用 Laravel 的自动 Policy 发现机制（如 authorizeResource() 在控制器中一键绑定）

class PostPolicy
{
    public function update(User $user, Post $post): bool
    {
        return $user->id === $post->user_id;
    }

    public function delete(User $user, Post $post): bool
    {
        return $user->role === 'admin' || $user->id === $post->user_id;
    }
}

混用时要注意的坑

Gate 和 Policy 可以共存，但容易因命名冲突或解析顺序导致行为不符合预期。

• Policy 方法名会自动注册为同名 Gate，例如 PostPolicy@delete → Gate 名为 delete；如果手动用 Gate::define('delete', ...)，后者会覆盖前者
• 使用 can('update', $post) 时，Laravel 先查有没有针对 Post 类型的 update Policy，没有才 fallback 到全局 update Gate —— 所以不要给 Gate 起和 Policy 方法重名的字符串
• Policy 中的方法必须是 public，且至少接受 User 和模型两个参数（否则 Gate 解析器无法调用）
• 如果模型没有主键（或主键不是 id），Policy 自动绑定可能失败，此时需显式传参或改用 Gate