من این مورد رو با تغییر متد show در InvoiceController به شکل زیر مدیریت کردم.

public function show(Order $order)
    {
        $user=Auth::user();
        $user_orders=$user->orders;
        if(!$user_orders->contains($order)){
            return back()
        ->with('error', __('messages.Illegal invoice request')); 
        }
        return $order->downloadInvoice();
    }

سفارشهای کاربر وارد شده رو گرفتم و چک کردم سفارش ارسال شده به این متد در سفارش‌های کاربر موجوده یا نه.
در صورتی که موجود نباشه ی error  برمیگردونم.
روش بهینه‌تری هست؟ نیازی به ایجاد Exception وجود داره؟

سلام .. روشی که شما استفاده کردید هم پاسخگو هستش ولی بهینه نیست .. بهترین مورد برای اینکار استفاده از Policy‌های لاراول هستش ... با استفاده از Policy لاراول میتونید به صورت کامل این مورد رو چک کنید ... در آپدیت‌های دوره این مورد اضافه خواهد شد.

https://laravel.com/docs/7.x/authorization