質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
87.20%
Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

解決済

Laravel 認可(Policy)の反映がうまくいきません

jirou6699
jirou6699

総合スコア4

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

1回答

-1評価

0クリップ

230閲覧

投稿2022/08/07 04:19

編集2022/08/08 01:27

やりたいこと

laravelでpolicyを使った認可処理でつまづいています。
投稿(create)した本人しか更新できない(update)ようにしたいのですが、誰でも更新できるような状態になってしまいます。他の質問者様の内容や記事も参考にしましたが、どうもうまくいっていない状況です。アドバイス等いただければ嬉しいです。

やってみたこと

主に公式ドキュメントを参考にpolicyを作成しています。

ポリシーの生成

ポリシー名はモデル名と同じにするよう、contactFormPolicyとしました。

PHP:app/Policies/ContactFormPolicy.php

/** * Determine whether the user can update the model. * * @param \App\Models\User $user * @param \App\Models\ContactForm $contactForm * @return \Illuminate\Auth\Access\Response|bool */ public function update(User $user, ContactForm $contactForm) { return $user->id === $contactForm->user_id; }

ポリシーの登録

PHP:app/Providers/AuthServiceProvider.php

namespace App\Providers; // use Illuminate\Support\Facades\Gate; use App\Models\ContactForm; use App\Policies\ContactFormPolicy; use Illuminate\Foundation\Support\Providers\AuthServiceProvider as ServiceProvider; class AuthServiceProvider extends ServiceProvider { /** * The model to policy mappings for the application. * * @var array<class-string, class-string> */ protected $policies = [ // モデル名 => モデルポリシー名 ContactForm::class => ContactFormPolicy::class ]; /** * Register any authentication / authorization services. * * @return void */ public function boot() { $this->registerPolicies(); // } }

アクション認可

contactFormコントローラーのupdateメソッドにauthorizeメソッドを使用して、投稿(create)した同一ユーザーのみ編集(update)できるようにしたつもりです。

PHP:

/** * Update the specified resource in storage. * * @param \Illuminate\Http\Request $request * @param int $id * @return \Illuminate\Http\Response */ public function update(Request $request, $id, ContactForm $contactForm) { $contact = ContactForm::find($id); $contact->name = $request->your_name; $contact->title = $request->title; $contact->email = $request->email; $contact->url = $request->url; $contact->gender = $request->gender; $contact->age = $request->age; $contact->contact = $request->contact; $this->authorize('update', $contactForm);   //←ここにアクション処理の認可設定 $contact->save(); return redirect() ->route('contact.index'); }

結果

イメージ説明

考えたこと・思ったこと

今回はuserとcontactformを1対多の関係でリレーションし、ダミーデーターを入れて動かしています。
policy自体は動いてくれてるので、idと紐づいていない可能性があると思っていますがsqlにもデータが入っているので自分でおかしいポイントを把握できていません。

ER図

イメージ説明

sql(カラム)

イメージ説明

sql(データ)

イメージ説明

よろしくお願いします。

ルーティング

PHP:routes/web.php

Route::group(['prefix'=>'contact','middleware'=>'auth'], function(){ Route::get('index', [ContactFormController::class ,'index'])->name('contact.index'); Route::get('create', [ContactFormController::class ,'create'])->name('contact.create'); Route::post('store', [ContactFormController::class ,'store'])->name('contact.store'); Route::get('show/{id}/', [ContactFormController::class, 'show'])->name('contact.show'); Route::get('edit/{id}/', [ContactFormController::class, 'edit'])->name('contact.edit'); Route::post('update/{id}/', [ContactFormController::class, 'update'])->name('contact.update'); Route::post('destroy/{id}/', [ContactFormController::class, 'destroy'])->name('contact.destroy'); });

解決

アドバイスをもとに下記修正したところ、想定通りの動きができました。

ルーティング

アクションを全て記載していたので、resourcesに変更してコードをスッキリしました。

PHP:routes/web.php

Route::group(['middleware'=>'auth'], function(){ Route::resource('contact', ContactFormController::class, );

コントローラーの記載

こちらの記事を参考にフィルを使う場合の記載に変更しました。結局authorizeを使用した方法しか今はわかりませんでしたが、authorizeの第二引数の使い方が良くないことは理解できました。またルーティングをresourceにすると、updateメソッドで$idを使用しないと値をとれませんでした。
ただ、これで投稿ユーザーしか編集ができないように設定することができました!
fillを使ったカラムの登録

PHP

public function update(Request $request, $id) { $contact = ContactForm::find($id); $this->authorize('update', $contact); //authorizeを使用した認可 $contact->fill([ 'name' => $request->your_name, 'title' => $request->title, 'email' => $request->email, 'url' => $request->url, 'gender' => $request->gender, 'age' => $request->age, 'contact' => $request->contact, ]); $contact->save(); return redirect() ->route('contact.index');

良い質問の評価を上げる

以下のような質問は評価を上げましょう

  • 質問内容が明確
  • 自分も答えを知りたい
  • 質問者以外のユーザにも役立つ

評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

気になる質問をクリップする

クリップした質問は、後からいつでもマイページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

  • プログラミングに関係のない質問
  • やってほしいことだけを記載した丸投げの質問
  • 問題・課題が含まれていない質問
  • 意図的に内容が抹消された質問
  • 過去に投稿した質問と同じ内容の質問
  • 広告と受け取られるような投稿

評価を下げると、トップページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

まだ回答がついていません

会員登録して回答してみよう

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
87.20%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問

同じタグがついた質問を見る

Laravel

LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。