laravel role permission

🔐 Laravel Security ⚙️ Role & Permission 📚 Artikel ke-24

Role dan Permission:
Manajemen Hak Akses
Pengguna di Laravel

Kendalikan siapa yang bisa melihat, mengedit, dan menghapus data di aplikasimu — dengan sistem Role & Permission yang solid menggunakan autentikasi Laravel Breeze dan Spatie.

⏱️

Estimasi Baca

12–15 Menit

🎯

Level

Menengah

📅

Update

2025

Bayangin kamu sedang bangun aplikasi manajemen kampus. Ada mahasiswa, ada dosen, ada admin. Semua login pakai sistem yang sama — tapi masak admin bisa ikut hapus nilai dosen? Atau mahasiswa bisa akses panel keuangan? Nah, di sinilah autentikasi Laravel Breeze saja tidak cukup. Kamu butuh yang namanya Role dan Permission — sistem penjaga pintu yang memastikan setiap pengguna hanya bisa mengakses apa yang memang menjadi haknya.

Di artikel ke-24 dari seri 50 Artikel Belajar Laravel ini, kita akan bedah tuntas cara kerja Role & Permission di Laravel — mulai dari konsep dasarnya, implementasi manual, hingga menggunakan package Spatie Laravel Permission yang sudah jadi standar industri. Siap? Kunci pintunya dulu, baru kita mulai! 🔐

📌 Konsep Kunci

Role vs Permission — Apa Bedanya?

Role adalah kelompok/jabatan pengguna (misalnya: Admin, Editor, User biasa). Permission adalah izin spesifik yang boleh dilakukan (misalnya: edit-post, delete-user, view-report). Satu Role bisa punya banyak Permission. Intinya: Role = siapa kamu, Permission = apa yang boleh kamu lakukan.

🏛️ Memahami Konsep Role & Permission dengan Analogi Nyata

Coba bayangkan sebuah gedung kantor besar. Di sana ada berbagai jenis kartu akses:

• Kartu Merah (Admin) — bisa masuk ke semua ruangan, termasuk server room dan brankas
• Kartu Kuning (Editor) — bisa masuk ruang konten, tapi tidak ke ruang keuangan
• Kartu Hijau (User) — hanya bisa masuk lobi dan meja kerja sendiri

Nah, Role itu seperti warna kartu — mengelompokkan siapa kamu. Sedangkan Permission adalah daftar ruangan spesifik yang bisa kamu masuki. Itulah inti dari sistem otorisasi berbasis peran (Role-Based Access Control / RBAC) yang akan kita implementasikan dengan autentikasi Laravel Breeze sebagai pondasinya.

Role	Contoh Permission	Area Akses
👑 Admin	manage-users, delete-post, view-reports	Full Access
✍️ Editor	create-post, edit-post, view-post	Content Only
👤 User	view-post, update-profile	Read Only

🔥

Fakta Menarik

Lebih dari 75% insiden kebocoran data di aplikasi web terjadi bukan karena sistem enkripsi yang lemah, melainkan karena kontrol akses yang tidak proper. Membangun Role & Permission yang baik bukan sekadar fitur — ini adalah pertahanan pertamamu!

🚀 Implementasi dengan Spatie Laravel Permission + Autentikasi Laravel Breeze

Package Spatie Laravel Permission adalah solusi paling populer dan terpercaya untuk manajemen role di Laravel — sudah diunduh lebih dari 20 juta kali! Ini adalah fondasi yang sempurna untuk dikombinasikan dengan sistem autentikasi Laravel Breeze yang sudah kamu pasang. Mari kita mulai langkah demi langkah.

1

Install Package Spatie

Pastikan kamu sudah punya project Laravel dengan autentikasi Laravel Breeze terpasang. Lalu jalankan perintah berikut di terminal:

# Install package via Composer
composer require spatie/laravel-permission

# Publish konfigurasi dan migration
php artisan vendor:publish --provider="Spatie\Permission\PermissionServiceProvider"

# Jalankan migration
php artisan migrate

2

Tambahkan Trait ke Model User

Buka file app/Models/User.php dan tambahkan trait HasRoles:

<?php

namespace App\Models;

use Spatie\Permission\Traits\HasRoles; // ← Tambahkan ini
use Illuminate\Foundation\Auth\User as Authenticatable;

class User extends Authenticatable
{
    use HasRoles; // ← Gunakan trait di sini

    // ... kode lainnya
}

3

Buat Seeder untuk Role & Permission

Jangan input role secara manual — gunakan Seeder agar mudah di-reset dan di-deploy ulang:

// database/seeders/RolePermissionSeeder.php

use Spatie\Permission\Models\Role;
use Spatie\Permission\Models\Permission;

class RolePermissionSeeder extends Seeder
{
  public function run()
  {
    // Buat permissions
    $permissions = ['manage-users', 'edit-post', 'delete-post', 'view-report'];
    foreach ($permissions as $perm) {
      Permission::create(['name' => $perm]);
    }

    // Buat role dan assign permission
    $admin = Role::create(['name' => 'admin']);
    $admin->givePermissionTo(Permission::all());

    $editor = Role::create(['name' => 'editor']);
    $editor->givePermissionTo(['edit-post']);
  }
}

4

Assign Role ke User

Setelah role tersedia, kamu bisa assign ke user dengan mudah:

$user = User::find(1);

// Assign role ke user
$user->assignRole('admin');

// Cek apakah user punya role tertentu
$user->hasRole('admin'); // true / false

// Cek apakah user punya permission
$user->can('edit-post'); // true / false

💡

Tips Pro

Selalu jalankan php artisan permission:cache-reset setelah mengubah data role atau permission. Spatie menyimpan cache-nya sendiri, dan jika lupa reset, perubahan tidak akan langsung terasa di aplikasi!

🛡️ Menerapkan Autentikasi Laravel Breeze dengan Middleware & Blade Directive

Setelah role dan permission terdefinisi, saatnya kita "pasang pagar" di dua titik penting: route (backend) dan tampilan Blade (frontend). Ini yang membuat sistem autentikasi Laravel Breeze-mu benar-benar aman dari dua sisi sekaligus.

5

Proteksi Route dengan Middleware Role

Spatie otomatis mendaftarkan middleware role dan permission. Gunakan langsung di file routes:

// routes/web.php

// Hanya admin yang bisa akses
Route::middleware(['auth', 'role:admin'])->group(function() {
  Route::get('/admin/dashboard', [AdminController::class, 'index']);
  Route::resource('/users', UserController::class);
});

// Hanya editor yang bisa akses
Route::middleware(['auth', 'role:editor'])->group(function() {
  Route::get('/posts/create', [PostController::class, 'create']);
});

// Berdasarkan permission spesifik
Route::middleware(['auth', 'permission:delete-post'])->group(function() {
  Route::delete('/posts/{id}', [PostController::class, 'destroy']);
});

6

Sembunyikan Elemen UI dengan Blade Directive

Proteksi route saja tidak cukup — kamu juga harus sembunyikan tombol dan menu yang tidak relevan untuk role tertentu. Spatie menyediakan directive Blade yang sangat elegan:

<!-- resources/views/dashboard.blade.php -->

<!-- Tampil hanya untuk admin -->
@role('admin')
  <a href="/admin/users">Kelola Users</a>
@endrole

<!-- Berdasarkan permission -->
@can('edit-post')
  <button>Edit Artikel</button>
@endcan

<!-- Tampil untuk multiple role -->
@hasanyrole('admin|editor')
  <div>Menu Konten</div>
@endhasanyrole

⚡

Insight Penting

Jangan hanya proteksi tampilan Blade saja! Menyembunyikan tombol di UI adalah pengalaman pengguna yang baik, tapi bukan keamanan sungguhan. Orang yang tahu URL bisa tetap akses langsung. Selalu proteksi di dua lapisan: Middleware (route) dan Blade (UI).

📊 Perbandingan: Manual vs Spatie untuk Autentikasi Laravel Breeze

Banyak yang bertanya: "Kenapa tidak bikin sendiri saja?" Pertanyaan bagus! Mari kita bandingkan agar kamu bisa pilih pendekatan yang paling tepat untuk proyekmu.

🔬 Analisis Perbandingan Pendekatan

Aspek	Implementasi Manual	Spatie Package
Setup Awal	⏱️ Lama (perlu buat tabel sendiri)	✅ Cepat (migrasi otomatis)
Fleksibilitas	✅ Sangat fleksibel	✅ Fleksibel + lebih lengkap
Maintenance	❌ Kamu yang maintain	✅ Komunitas yang maintain
Cocok Untuk	Proyek kecil / pembelajaran	Proyek production / skala besar
Blade Directive	❌ Perlu buat sendiri	✅ Sudah tersedia (@role, @can)

⚠️

Perhatian

Jangan lupakan untuk mendaftarkan PermissionServiceProvider jika kamu menggunakan Laravel versi lebih lama dari 11. Di Laravel 11+, ini sudah otomatis via package auto-discovery. Cek versi Laravel-mu dengan php artisan --version sebelum mulai!

⚡

Insight: Koneksi ke Seri Ini

Artikel ini adalah bagian dari 50 Artikel Belajar Laravel. Sistem Role & Permission yang kamu pelajari di sini bekerja berdampingan dengan Gates & Policies (Artikel 23) dan autentikasi yang sudah kamu setup di awal seri. Semakin jauh kamu baca, semakin utuh skill Laravel-mu! 🚀

🎯

Kesimpulan

Selamat! Kamu baru saja menguasai salah satu pilar terpenting dalam keamanan aplikasi web. Mari kita recap poin-poinnya:

✦

Role mengelompokkan pengguna berdasarkan jabatan, sementara Permission menentukan izin aksi spesifik.

✦

Spatie Laravel Permission adalah package standar industri yang wajib kamu kuasai untuk proyek production.

✦

Selalu proteksi di dua lapisan: Middleware untuk route dan Blade Directive untuk tampilan UI.

✦

Dengan fondasi autentikasi Laravel Breeze yang sudah solid, menambahkan sistem role hanya butuh beberapa langkah saja.

Gimana, sudah mulai terbayang bagaimana aplikasimu akan jauh lebih aman dan terstruktur? Coba langsung praktikkan di proyek latihan kamu! Kalau ada bagian yang bikin bingung atau ingin ditambahkan, tulis di kolom komentar ya 👇

💬 Tulis Komentar 📤 Bagikan Artikel 🔔 Subscribe Seri

#Laravel #PHP #RolePermission #Spatie #WebDevelopment #BelajarLaravel #Tutorial

Navigasi Seri · 50 Artikel Belajar Laravel

← Artikel Sebelumnya · #23

Otorisasi dengan Gates dan Policies di Laravel

Artikel Selanjutnya · #25 →

Session & Cookie di Laravel: Menyimpan Data Sementara