イントロダクション
Tip!! さくっと始めたいですか? インストールしたてのLaravelアプリケーションにて、
php artisan make:authとphp artisan migrateを実行するだけです。それから、ブラウザでhttp://your-app.test/register、もしくはアプリケーションに割りつけたその他のURLへアクセスしてください。この2つのコマンドが、認証システム全体のスカフォールドを面倒みます。
Laravelでは簡単に認証が実装できます。実際ほとんど全て最初から設定済みです。認証の設定ファイルはconfig/auth.phpに用意してあり、認証サービスの振る舞いを調整できるように、読みやすいコメント付きでたくさんのオプションが用意されています。
Laravelの認証機能は「ガード」と「プロバイダ」を中心概念として構成されています。ガードは各リクエストごとに、どのようにユーザーを認証するかを定義します。たとえば、Laravelにはセッションストレージとクッキーを使いながら状態を維持するsessionガードが用意されています。
プロバイダは永続ストレージから、どのようにユーザーを取得するかを定義します。LaravelはEloquentとデータベースクリエビルダを使用しユーザーを取得する機能を用意しています。しかし、アプリケーションの必要性に応じて、自由にプロバイダを追加できます。
混乱しても心配ありません。通常のアプリケーションでは、デフォルトの認証設定を変更する必要はありません。
データベースの検討事項
デフォルトとしてLaravelは、App\User Eloquentモデルをappディレクトリに用意しています。このモデルはデフォルトEloquent認証ドライバで使用しています。もしアプリケーションでEloquentを使用しなければ、Laravelクエリビルダを使用するdatabase認証ドライバを使用する必要があります。
App\Userモデルのデータベーススキマー構築時に、確実にパスワードカラムを最低60文字確保してください。デフォルトの255文字にするのが、良い方法でしょう。
さらにusers、もしくは同等の働きをするテーブルには、100文字のremember_token文字列カラムも含めてください。このカラムはログイン時に、アプリケーションで"remember
me"を選んだユーザーのトークンを保存しておくカラムとして使用されます。
認証クイックスタート
App\Http\Controllers\Auth名前空間下に多くの組み込み済み認証コントローラがLaravelにより用意されています。RegisterControllerは新ユーザーの登録、LoginControllerは認証処理、ForgotPasswordControllerはパスワードリセットのためのメールリンク処理、ResetPasswordControllerはパスワードリセット処理を行います。各コントローラは必要なメソッドを含むトレイトを使用しています。多くのアプリケーションでは、これらのコントローラを変更する必要は全くありません。
ルート定義
簡単なコマンド一つで、認証に必要となるルート定義とビューをすべてスカフォールディングできる、簡単な手段をLaravelは提供しています。
php artisan make:authこのコマンドは新しくインストールしたアプリケーションでのみ実行すべきで、レイアウトビュー、登録ログインビューをインストールし、同時にすべての認証エンドポイントのルートも定義します。HomeControllerも、ログイン後に必要となる、アプリケーションのダッシュボードのために生成されます。
Tip!! アプリケーションでユーザー登録が必要なければ、新しく作成された
RegisterControllerを削除し、ルート定義をAuth::routes(['register' => false]);のように変更すれば、無効にできます。
ビュー
前のセクションで説明したとおり、php artisan make:authコマンドはresources/views/authディレクトリへ、認証に必要なすべてのビューを生成します。
make:authコマンドはresources/views/layoutsディレクトリにアプリケーションのベースレイアウトビューも生成します。これらのビューはすべてBootstrap
CSSフレームワークを使用していますが、自由にカスタマイズしてください。
認証
これで、認証コントローラを含め、必要なルートとビューの準備が整いました。アプリケーションに新しいユーザーを登録し、認証できるようになりました。ブラウザでアプリケーションへアクセスしてください。認証コントローラは(内部で使用しているトレイトにより)、既存ユーザーの認証と、新しいユーザーをデータベースへ保存するロジックをすでに備えています。
パスのカスタマイズ
ユーザーが認証に成功すると、/homeのURIへリダイレクトします。これをカスタマイズするには、LoginController、RegisterController、ResetPasswordController、VerificationControllerのredirectToプロパティで、認証後のリダイレクト先の場所を定義してください。
protected $redirectTo = '/';次に、ユーザーをリダイレクトさせるときの新しいURIを使用するために、RedirectIfAuthenticatedミドルウェアのhandleメソッドを更新する必要があります。
リダイレクトパスをカスタマイズするロジックが必要な場合は、redirectToプロパティの代わりにredirectToメソッドを定義してください。
protected function redirectTo()
{
return '/path';
}Tip!!
redirectToメソッドは、redirectToプロパティよりも優先されます。
ユーザー名のカスタマイズ
デフォルトでLaravelはemailフィールドを認証に利用します。これをカスタマイズしたい場合は、LoginControllerでusernameメソッドを定義してください。
public function username()
{
return 'username';
}ガードのカスタマイズ
更に、登録済みユーザーを認証するために使用する「ガード」をカスタマイズすることも可能です。LoginController、
RegisterController、ResetPasswordControllerでguardメソッドを定義してください。メソッドからガードインスタンスを返してください。
use Illuminate\Support\Facades\Auth;
protected function guard()
{
return Auth::guard('guard-name');
}バリデーション/保管域のカスタマイズ
アプリケーションに新しいユーザーを登録する場合に入力してもらうフォームのフィールドを変更するか、データベースに新しいユーザーレコードを登録する方法をカスタマイズしたい場合は、RegisterControllerクラスを変更してください。このクラスはアプリケーションで新しいユーザーのバリデーションと作成に責任を持っています。
RegisterControllerのvalidatorメソッドはアプリケーションの新しいユーザーに対するバリデーションルールで構成されています。このメソッドはお気に召すまま自由に変更してください。
RegisterControllerのcreateメソッドは新しいApp\UserレコードをEloquent
ORMを使用し、データベースに作成することに責任を持っています。データベースの必要に合わせて自由にこのメソッドを変更してください。
認証済みユーザーの取得
Authファサードを使えば認証済みユーザーへ簡単にアクセスできます。
use Illuminate\Support\Facades\Auth;
// 現在認証されているユーザーの取得
$user = Auth::user();
// 現在認証されているユーザーのID取得
$id = Auth::id();もしくは、ユーザーが認証済みであれば、Illuminate\Http\Requestインスタンス経由で、ユーザーへアクセスすることもできます。コントローラメソッドでタイプヒントしたクラスは、自動的にインスタンスが依存注入されることを思い出してください。
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
class ProfileController extends Controller
{
/**
* ユーザープロフィールの更新
*
* @param Request $request
* @return Response
*/
public function update(Request $request)
{
// $request->user()は認証済みユーザーのインスタンスを返す
}
}現在のユーザーが認証されているか調べる
ユーザーが既にアプリケーションにログインしているかを調べるには、Authファサードのcheckメソッドが使えます。認証時にtrueを返します。
use Illuminate\Support\Facades\Auth;
if (Auth::check()) {
// ユーザーはログインしている
}Tip!!
checkメソッドを使っても、あるユーザーが認証済みであるかを判定可能です。特定のルートやコントローラへユーザーをアクセスさせる前に、認証済みであるかをミドルウェアにより確認する場合、典型的に使用します。より詳細についてはルートの保護のドキュメントを参照してください。
ルートの保護
ルートミドルウェアは特定のルートに対し、認証済みユーザーのみアクセスを許すために使われます。LaravelにはIlluminate\Auth\Middleware\Authenticateの中で定義されているauthミドルウェアが最初から用意されています。このミドルウェアは、HTTPカーネルで登録済みのため、必要なのはルート定義でこのミドルウェアを指定するだけです。
Route::get('profile', function() {
// 認証済みのユーザーのみが入れる
})->middleware('auth');コントローラを使っていれば、ルート定義に付加する代わりに、コントローラのコンストラクターでmiddlewareメソッドを呼び出すことができます。
public function __construct()
{
$this->middleware('auth');
}未認証ユーザーのリダイレクト
ミドルウェアが未認証ユーザーを突き止めると、ユーザーをlogin名前付きルートへリダイレクトします。この振る舞いは、app/Http/Middleware/Authenticate.phpファイルのredirectTo関数で変更できます。
/**
* ユーザーをリダイレクトさせるパスの取得
*
* @param \Illuminate\Http\Request $request
* @return string
*/
protected function redirectTo($request)
{
return route('login');
}ガードの指定
authミドルウェアをルートに対し指定するときに、そのユーザーに対し認証を実行するガードを指定することもできます。指定されたガードは、auth.php設定ファイルのguards配列のキーを指定します。
public function __construct()
{
$this->middleware('auth:api');
}認証回数制限
Laravelの組み込みLoginControllerクラスを使用している場合、Illuminate\Foundation\Auth\ThrottlesLoginsトレイトが最初からコントローラで取り込まれています。デフォルトでは何度も正しくログインできなかった後、一分間ログインできなくなります。制限はユーザーの名前/メールアドレスとIPアドレスで限定されます。
自前のユーザー認証
Laravelに含まれる、認証コントローラを使うよう強要しているわけではないことに留意してください。これらのコントローラを削除する選択肢を選ぶのなら、Laravel認証クラスを直接使用しユーザーの認証を管理する必要があります。心配ありません。それでも簡単です!
Laravelの認証サービスにはAuthファサードでアクセスできます。クラスの最初でAuthファサードを確実にインポートしておきましょう。次にattemptメソッドを見てみましょう。
<?php
namespace App\Http\Controllers;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
class LoginController extends Controller
{
/**
* 認証を処理する
*
* @param \Illuminate\Http\Request $request
*
* @return Response
*/
public function authenticate(Request $request)
{
$credentials = $request->only('email', 'password');
if (Auth::attempt($credentials)) {
// 認証に成功した
return redirect()->intended('dashboard');
}
}
}attemptメソッドは最初の引数として、キー/値ペアの配列を受け取ります。配列中の他の値は、データベーステーブルの中からそのユーザーを見つけるために使用されます。そのため、上の例ではemailカラム値によりユーザーが取得されます。データベース中のハッシュ済みパスワードと比較する前に、フレームワークは自動的に値をハッシュ化するため、passwordへ指定する値はハッシュ化しないでください。2つのハッシュ済みパスワードが一致したら、そのユーザーの新しい認証セッションが開始されます。
attemptメソッドは、認証が成功すればtrueを返します。失敗時はfalseを返します。
リダイレクタ―のintendedメソッドは、認証フィルターにかかる前にアクセスしようとしていたURLへ、ユーザーをリダイレクトしてくれます。そのリダイレクトが不可能な場合の移動先として、フォールバックURIをこのメソッドに指定してください。
追加条件の指定
お望みであれば、ユーザーのメールアドレスとパスワードに付け加え、認証時のクエリに追加の条件を指定することも可能です。例として、ユーザーが「アクティブ」である条件を追加してみましょう。
if (Auth::attempt(['email' => $email, 'password' => $password, 'active' => 1])) {
// ユーザーは存在しており、かつアクティブで、資格停止されていない
}Note: この例のように、
特定のGuardインスタンスへのアクセス
Authファサードのguardメソッドにより、使用したいガードインスタンスを指定できます。これにより全く異なった認証用のモデルやユーザーテーブルを使い、アプリケーションの別々の部分に対する認証を管理することができます。
guardメソッドへ渡すガード名は、auth.php認証ファイルのguards設定の一つと対応している必要があります。
if (Auth::guard('admin')->attempt($credentials)) {
//
}ログアウト
アプリケーションからユーザーをログアウトさせるには、Authファサードのlogoutメソッドを使用してください。これはユーザーセッションの認証情報をクリアします。
Auth::logout();継続ログイン
アプリケーションでログイン維持(Remember
me)機能を持たせたい場合は、attemptメソッドの第2引数に論理値を指定します。ユーザーが自分でログアウトしない限り、認証が無期限に持続するようになります。"remember
me"トークンを保存するために使用する文字列のremember_tokenカラムをusersテーブルに持たせる必要があります。
if (Auth::attempt(['email' => $email, 'password' => $password], $remember)) {
// このメンバーは継続ログインされる
}Tip!! Laravelに用意されている、組み込み
LoginControllerを使用する場合、このコントローラが使用しているトレイトにより、"remember"ユーザーを確実に処理するロジックが実装済みです。
この機能を使用している時に、ユーザーが"remember
me"クッキーを使用して認証されているかを判定するには、viaRememberメソッドを使用します。
if (Auth::viaRemember()) {
//
}他の認証方法
Userインスタンスによる認証
既に存在しているユーザーインスタンスでアプリケーションにログインさせる必要があれば、loginメソッドにそのユーザーインスタンスを指定し呼び出してください。指定されたオブジェクトはIlluminate\Contracts\Auth\Authenticatable契約を実装している必要があります。Laravelが用意しているApp\Userモデルはこのインターフェイスを実装しています。
Auth::login($user);
// 指定したユーザーでログインし、"remember"にする
Auth::login($user, true);使用したいガードインスタンスを指定することもできます。
Auth::guard('admin')->login($user);IDによるユーザー認証
ユーザーをアプリケーションへIDによりログインさせる場合は、loginUsingIdメソッドを使います。このメソッドは認証させたいユーザーの主キーを引数に受け取ります。
Auth::loginUsingId(1);
// 指定したユーザーでログインし、"remember"にする
Auth::loginUsingId(1, true);ユーザーを一度だけ認証する
onceメソッドを使用すると、アプリケーションにユーザーをそのリクエストの間だけログインさせることができます。セッションもクッキーも使用しないため、ステートレスなAPIを構築する場合に便利です。
if (Auth::once($credentials)) {
//
}HTTP基本認証
HTTP基本認証により、専用の「ログイン」ページを用意しなくても手っ取り早くアプリケーションにユーザーをログインさせられます。これを使用するには、ルートにauth.basicミドルウェアを付けてください。auth.basicミドルウェアはLaravelフレームワークに含まれているので、定義する必要はありません。
Route::get('profile', function() {
// 認証済みのユーザーのみが入れる
})->middleware('auth.basic');ミドルウェアをルートに指定すれば、ブラウザーからこのルートへアクセスされると自動的に認証が求められます。デフォルトでは、auth.basicミドルウェアはユーザーを決める"username"としてユーザーのemailカラムを使用します。
FastCGIの注意
PHP
FastCGIを使用している場合、初期状態のままでHTTP基本認証は正しく動作しないでしょう。以下の行を.htaccessファイルへ追加してください。
RewriteCond %{HTTP:Authorization} ^(.+)$
RewriteRule .* - [E=HTTP_AUTHORIZATION:%{HTTP:Authorization}]ステートレスなHTTP基本認証
セッションの識別クッキーを用いずにHTTP基本認証を使用することもできます。これは特にAPI認証に便利です。実装するには、onceBasicメソッドを呼び出すミドルウェアを定義してください。onceBasicメソッドが何もレスポンスを返さなかった場合、リクエストをアプリケーションの先の処理へ通します。
<?php
namespace App\Http\Middleware;
use Illuminate\Support\Facades\Auth;
class AuthenticateOnceWithBasicAuth
{
/**
* 送信されたリクエストの処理
*
* @param \Illuminate\Http\Request $request
* @param \Closure $next
* @return mixed
*/
public function handle($request, $next)
{
return Auth::onceBasic() ?: $next($request);
}
}次にルートミドルウェアを登録し、ルートに付加します。
Route::get('api/user', function() {
// 認証済みのユーザーのみが入れる
})->middleware('auth.basic.once');ログアウト
アプリケーションからユーザーをログアウトさせる場合、Authファサードのlogoutメソッドを使用してください。これにより、ユーザーセッションの認証情報はクリアされます。
use Illuminate\Support\Facades\Auth;
Auth::logout();他のデバイス上のセッションを無効化
さらにLaravelは、現在のユーザーの現在のデバイス上のセッションを切らずに、他のデバイス上のセッションを無効化し、「ログアウト」させるメカニズムを提供しています。これを使用するには、app/Http/Kernel.phpクラスのwebミドルウェアグループ中に、Illuminate\Session\Middleware\AuthenticateSessionミドルウェアが存在し、コメントを外すのを確実に行ってください。
'web' => [
// ...
\Illuminate\Session\Middleware\AuthenticateSession::class,
// ...
],それから、AuthファサードのlogoutOtherDevicesメソッドを使用してください。このメソッドは、入力フォームからアプリケーションが受け取る、現在のパスワードを引数に渡す必要があります。
use Illuminate\Support\Facades\Auth;
Auth::logoutOtherDevices($password);Note:
logoutOtherDevicesメソッドが起動すると、ユーザーの他のセッションは全て無効になります。つまり、以前に認証済みの全てのガードが、「ログアウト」されます。
カスタムガードの追加
独自の認証ガードはAuthファサードのextendメソッドを使用し、定義します。サービスプロバイダの中で呼び出します。AuthServiceProviderをLaravelはあらかじめ用意しているので、この中にコードを設置できます。
<?php
namespace App\Providers;
use App\Services\Auth\JwtGuard;
use Illuminate\Support\Facades\Auth;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
class AuthServiceProvider extends ServiceProvider
{
/**
* サービスの初期起動後の登録実行
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
Auth::extend('jwt', function($app, $name, array $config) {
// Illuminate\Contracts\Auth\Guardのインスタンスを返す
return new JwtGuard(Auth::createUserProvider($config['provider']));
});
}
}上記の例のように、コールバックをextendメソッドに渡し、Illuminate\Contracts\Auth\Guardの実装を返します。このインスタンスは、カスタムガードで定義が必要ないくつかのメソッドを持っています。カスタムガードを定義したら、auth.php設定ファイルの、guards設定で使用できます。
'guards' => [
'api' => [
'driver' => 'jwt',
'provider' => 'users',
],
],クロージャリクエストガード
HTTPリクエストをベースとした、カスタム認証システムを実装する一番簡単な方法は、Auth::viaRequestメソッドを使用する方法です。このメソッドは一つのクロージャの中で、認証プロセスを素早く定義できるように用意しています。
利用するにはAuthServiceProviderのbootメソッドの中から、Auth::viaRequestメソッドを呼び出してください。viaRequestメソッドの最初の引数は、ガード名です。名前にはカスタムガードを表す文字列を何でも使用できます。メソッド2つ目の引数は、受信したHTTPリクエストを受け取り、ユーザーインスタンスか認証失敗時のnullを返すクロージャを指定します。
use App\User;
use Illuminate\Http\Request;
use Illuminate\Support\Facades\Auth;
/**
* 全認証/認可サービスの登録
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
Auth::viaRequest('custom-token', function ($request) {
return User::where('token', $request->token)->first();
});
}カスタムガードを定義したら、auth.php設定ファイルのguards設定で、そのガードを利用します。
'guards' => [
'api' => [
'driver' => 'custom-token',
],
],カスタムユーザープロバイダの追加
ユーザー情報を保管するために伝統的なリレーショナルデータベースを使用したくなければ、Laravelに独自の認証ユーザープロバイダを拡張する必要があります。Authファサードのproviderメソッドを使い、カスタムユーザープロバイダを定義します。
<?php
namespace App\Providers;
use Illuminate\Support\Facades\Auth;
use App\Extensions\RiakUserProvider;
use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider;
class AuthServiceProvider extends ServiceProvider
{
/**
* サービスの初期起動後の登録実行
*
* @return void
*/
public function boot()
{
$this->registerPolicies();
Auth::provider('riak', function($app, array $config) {
// Illuminate\Contracts\Auth\UserProviderのインスタンスを返す
return new RiakUserProvider($app->make('riak.connection'));
});
}
}providerメソッドでプロバイダを登録したら、auth.php設定ファイルで新しいユーザープロバイダへ切り替えます。最初に、新しいドライバを使用するproviderを定義します。
'providers' => [
'users' => [
'driver' => 'riak',
],
],次に、このプロバイダをguards設定項目で利用します。
'guards' => [
'web' => [
'driver' => 'session',
'provider' => 'users',
],
],ユーザープロバイダ契約
Illuminate\Contracts\Auth\UserProviderは、MySQLやRiakなどのような持続性のストレージシステムに対するIlluminate\Contracts\Auth\Authenticatableの実装を取得することだけに責任を持っています。これらの2つのインターフェイスはユーザーデータがどのように保存されているか、それを表すのがどんなタイプのクラスなのかに関わらず、認証メカニズムを機能し続けるために役立っています。
Illuminate\Contracts\Auth\UserProvider契約を見てみましょう。
<?php
namespace Illuminate\Contracts\Auth;
interface UserProvider {
public function retrieveById($identifier);
public function retrieveByToken($identifier, $token);
public function updateRememberToken(Authenticatable $user, $token);
public function retrieveByCredentials(array $credentials);
public function validateCredentials(Authenticatable $user, array $credentials);
}retrieveById関数は通常MySQLデータベースの自動増分IDのようなユーザーを表すキーを受け付けます。IDにマッチするAuthenticatable実装が取得され、返されます。
retrieveByToken関数は一意の$identifierとremember_tokenフィールドに保存されている"remember
me"
$tokenからユーザーを取得します。前のメソッドと同じく、Authenticatable実装が返されます。
updateRememberTokenメソッドは$userのremember_tokenフィールドを新しい$tokenで更新します。真新しいトークンは、"remember
me"ログインの試みに成功するか、そのユーザーがログアウトしたときに、アサインされます。
retrieveByCredentialsメソッドはアプリケーションへログイン時にAuth::attemptメソッドに指定するのと同じく、ユーザー認証情報の配列を引数に取ります。メソッドは認証情報に一致するユーザーを裏の持続ストレージから「クエリ」する必要があります。典型的な使用方法の場合、このメソッドは$credentials['username']の"where"条件でクエリを実行するでしょう。メソッドはAuthenticatableの実装を返します。このメソッドはパスワードバリデーションや認証を行ってはいけません
validateCredentialsメソッドは指定された$userとユーザーを認証するための$credentialsとを比較します。たとえばこのメソッドは$user->getAuthPassword()の値と$credentials['password']をHash::makeで値を比較します。このメソッドはパスワードが有効であるかを示す、trueかfalseだけを返します。
Authenticatable契約
これでUserProviderの各メソッドが明らかになりました。続いてAuthenticatable契約を見てみましょう。プロバイダはretrieveByIdとretrieveByToken、retrieveByCredentialsメソッドでこのインターフェイスの実装を返していたことを思い出してください。
<?php
namespace Illuminate\Contracts\Auth;
interface Authenticatable {
public function getAuthIdentifierName();
public function getAuthIdentifier();
public function getAuthPassword();
public function getRememberToken();
public function setRememberToken($value);
public function getRememberTokenName();
}このインターフェイスはシンプルです。getAuthIdentifierNameメソッドは、ユーザーの「主キー」フィールドの名前を返します。getAuthIdentifierメソッドはユーザーの主キーを返します。MySQLを裏で使用している場合、これは自動増分される主キーでしょう。getAuthPasswordはユーザーのハッシュ済みのパスワードを返します。このインターフェイスはどのORMや抽象ストレージ層を使用しているかに関わらず、どんなUserクラスに対しても認証システムが動作するようにしてくれています。デフォルトでLaravelはappディレクトリ中に、このインターフェイスを実装してるUserクラスを持っています。ですから実装例として、このクラスを調べてみてください。
イベント
Laravelは認証処理の過程で、様々なイベントを発行します。EventServiceProviderの中で、こうしたイベントに対するリスナを設定できます。:
/**
* アプリケーションに指定されたイベントリスナ
*
* @var array
*/
protected $listen = [
'Illuminate\Auth\Events\Registered' => [
'App\Listeners\LogRegisteredUser',
],
'Illuminate\Auth\Events\Attempting' => [
'App\Listeners\LogAuthenticationAttempt',
],
'Illuminate\Auth\Events\Authenticated' => [
'App\Listeners\LogAuthenticated',
],
'Illuminate\Auth\Events\Login' => [
'App\Listeners\LogSuccessfulLogin',
],
'Illuminate\Auth\Events\Failed' => [
'App\Listeners\LogFailedLogin',
],
'Illuminate\Auth\Events\Logout' => [
'App\Listeners\LogSuccessfulLogout',
],
'Illuminate\Auth\Events\Lockout' => [
'App\Listeners\LogLockout',
],
'Illuminate\Auth\Events\PasswordReset' => [
'App\Listeners\LogPasswordReset',
],
];