Laravel ログイン機能の実装

#はじめに

Laravelにて、CRUD系のアプリを作っています。
ユーザ回りの機能を実装し始めて、認証がうまくできないため困っています。
Authファサードをつかえるようにして、Auth::attemptを利用するやり方を採用しています。
ちなみに、「$php artisan make:auth」でログイン機能を作れることを後から知り、かつ

　そのほうがセキュアな気もしますが、とりあえず始めてしまったのでこの方法でトライさせてください。

#コード

PHP
1//登録ページの処理、パスワードはハッシュ化しています
2public function store(Request $request){
3    $name = $request->input('name');
4    $email = $request->input('email');
5    $password = Hash::make($request->input('password'));
6    $this->validate($request, [
7      'name' => 'required|unique:user|max:255',
8      'email' => 'required|unique:user|max:60',
9      'password' => 'required|max:60'
10    ]);
11    DB::table('user')
12          ->insertGetId(['name' => $name, 'email' => $email, 'password' => $password]);
13    $request->session()->flash('flash', 'You are Registered Now');
14    return redirect()->to('database/');
15  }
16
17//認証ページの処理です
18public function authenticate(Request $request){
19    $email = $request->input('email');
20    $password = $request->input('password');
21    $credidentials = ['email' => $email, 'password' => $password];
22    if (Auth::attempt($credidentials)){
23      $request->session()->flash('flash', 'Log in Completed');
24      return redirect()->intended('database/');
25    }else{
26      $request->session()->flash('flash', 'Email or Password invalid');
27      return redirect()->to('database/user/auth');
28    }
29  }
30
31//認証ページのフォーム(auth.blade.php)です
32@extends('top')
33@section('content')
34<div>
35    <div>
36      <form action = "authenticate" method = "post">
37          <li> <input type = "text" name = "email" placeholder = "Type Email"> </li>
38          <li> <input type = "password" name = "password" placeholder = "Password"> </li>
39          <input type = "hidden" name="_token" value="{{csrf_token()}}">
40          <button type = "submit">Log in</button>
41      </form>
42      <a href = "{{ action( 'ArtistController@top' ) }}">Back to top</a>
43    </div>
44</div>
45@endsection

#実行結果

auth.blade.phpからメールとパスを打つと、「Email or Password invalid」が表示される、つまりログインに失敗している

のですが、それがなぜなのかわかりません。

メールとパスが一致していることは大前提としてあります。

実行の結果から、なぜ情報が一致しないのか、自分では調べてもいまいち掴めませんでしたので
お力添えいただけますと幸いです。

よろしくお願いいたします。

行動規範の内容に同意します

回答2件

ベストアンサー

ユーザの保存の仕方も、Auth::attemptを使った認証の仕方も、Laravel本体のコードと見比べても特に問題ないように見えます・・・。
あとは些細な問題があるのかを見ていくのかなという印象です。

ちょっと気になるのはデフォルトのユーザテーブルは user ではなく users なのですが、そこはおそらく御自身で作られたテーブルなのでたぶん大丈夫なのだと思っています。（users はdatabase/migrations/2014_10_12_000000_create_users_table.phpで作られているテーブルです
逆に言うと自分でユーザテーブルを作ってしまうと、Laravelの求めるスキーマと違ってしまうことがありそうで少し不安ではあります。

後はtypoとかDBに目的のデータがちゃんと保存されているかという懸念なのですが、ユーザ新規登録後にDBに目的のデータは保存されていますでしょうか？
仮に保存に成功してもパスワードは目的のパスワードのハッシュが保存されていますでしょうか？
上記のバリデーションルールだと仮にパスワードの空文字だったとしても通ってしまうので、仮にhtmlのformをどこかtypoしてて、パスワードがPOSTされてなくても通ってしまうと思います。

php
1    $name = $request->input('name');
2    $email = $request->input('email');
3    $password = Hash::make($request->input('password'));  // パスワードが空でもハッシュは生成されるので下のバリデーションはまず通過してしまう！
4    $this->validate($request, [
5      'name' => 'required|unique:user|max:255',
6      'email' => 'required|unique:user|max:60',
7      'password' => 'required|max:60'
8    ]);

参考
Laravelがパスワードハッシュ生成に使っているpassword_hashは空文字だろうがnullだろうがハッシュを生成する・・・・・。

php
1>>> password_hash('test', PASSWORD_DEFAULT);
2=> "$2y$10$u7D0s6uj1gqkXsnu8a/iUu4ZJ.ysHsTga5X1libNpcFt9yifQj/6K"
3>>> password_hash('', PASSWORD_DEFAULT);
4=> "$2y$10$WRNEIkZbDjRtWs4B1ZDa3OlLPurPAImce8KtW5q7OnYmy1CJXBD3e"
5>>> password_hash(null, PASSWORD_DEFAULT);
6=> "$2y$10$1QxZ.XuvEx4600RY4GJsyeazD0gnRnrzejjV8LsmXq3lTUI.eUjea"

投稿2017/12/28 03:04

nazonohito51

総合スコア62

nazonohito51

2017/12/28 05:54 編集

あ、あと config/auth.php の 'guards' 配下と、 'providers' 配下もよろしければ記述していただくとうれしいです。デフォルトだとたしかUserモデル（app/User.php）を経由したログイン認証を実行するのですが、上記のやり方だとまず認証に失敗するのかなと思います。

catch_all_balls

2017/12/28 03:52

ご回答いただきありがとうございます。めちゃくちゃ勉強になりました。上からコメントいたします。・userテーブルについてご推察いただきましたように、これは私が自作したテーブルです。また、新規登録後に、私はMysqlをつかっていますが、workbench上でレコードが入っていることを確認しています。・パスワードについて空文字でもハッシュというのは知りませんでした。。論理的に考えればたしかにそうなりますよね。ヴァリデーションの意味。。・config/auth.phpについて設定は、いじっていないので下記のようになっています。 'guards' => [ 'web' => [ 'driver' => 'session', 'provider' => 'users', ], 'api' => [ 'driver' => 'token', 'provider' => 'users', ], ], 'providers' => [ 'users' => [ 'driver' => 'eloquent', 'model' => App\User::class, ], // 'users' => [ // 'driver' => 'database', // 'table' => 'users', // ], ],

nazonohito51

2017/12/28 04:07

なるほどなるほど、config/auth.phpの'provider'を以下に書き換えてみるとログイン認証はできるようになりますでしょうか？ ``` 'providers' => [ // こっちはコメントアウト // 'users' => [ // 'driver' => 'eloquent', // 'model' => \App\DataAccess\Eloquent\User::class, // ], // コメントアウト解除 'users' => [ 'driver' => 'database', 'table' => 'user', // 「今回の場合は」 users->userへ修正 ], ], ```

catch_all_balls

2017/12/28 10:00

アドバイスありがとうございます。書き換えてみまして、「Undefined index: id」というエラーにはなりましたが、検索・一致のロジック単体ではワークしている感じです。ご丁寧にありがとうございました！

行動規範の内容に同意します

Auth::attempt 内の挙動を追うのが早そうですが、追いましたか？

ここを見ると $password をナマのまま渡すのが NG とかっぽいです。

ただ、感覚的にはおかしな記述な気がするので、やっぱり挙動を追ってみるのが良いかと。

投稿2017/12/27 23:45

退会済みユーザー

総合スコア0

catch_all_balls

2017/12/27 23:52

ご回答ありがとうございます。いえ、まだ追ってないですね。SELECTのときに、デハッシュするのかなと思っていて変に思いましたが、やはりそうですよね。そのへんにあたりをつけていろいろ調査します、ありがとうございます。

退会済みユーザー

2017/12/27 23:59

私は laravel を学習しようとしている段階にあるので、laravel の認証の常套手法は知らないのですが、ハッシュした後の値を渡す関数となると、なんかそもそも使い方が今のやり方と違う気がします。もし、リンク先の記述通りの動きをするものなのであれば、使用方法の確認をしたほうが良いかもしれません。

catch_all_balls

2017/12/28 00:02

そうなんですね。上記の記法は、ドキュメント（https://readouble.com/laravel/5.5/ja/authentication.html）を参考に書いてみたんです。と思ってもう一度みたら、自動でハッシュ化されるから登録時にハッシュにしてはダメってなってました。。ごめんなさい、再チャレンジしてみます。

退会済みユーザー

2017/12/28 00:06

あぁ、理解しました！ laravel が Ver ごとに仕様が違うって、こういうことなんですね＾＾；勉強になりました。

catch_all_balls

2017/12/28 00:07

te2jiさんが、5.5以前のLaravelをイメージされていた、とかでしょうか。逆に学びになったようで、コメントいただき嬉しかったです。

退会済みユーザー

2017/12/28 00:25

いえ、私の回答したリンク先が5.5以前の laravel の記述であっただけで、私はもっと入り口にいる状況です。マイナーバージョンの違いで、ここまで差が出るものなんですね。。。こわい^^;

行動規範の内容に同意します

あなたの回答