Laravelで認証機能を実装しています。
認証を実装する際に、ユーザーが登録した情報を見れる機能を実装する機会があると思いますが、
他のユーザーが登録した情報を見れないようにする対策の仕方についてより安全な方法がないか考えています。
例えばユーザーが所持する商品を管理したい機能を作る場合、 products.{product}
の様なルートを作ります。
登録した商品の詳細をブラウザ上で確認したい場合、http://example.com/admin/products/1
の様になるかと思います。
しかし、認証以外で対策をしていない場合、管理画面でログインしているユーザーであれば、登録者と別だったとしても見れてしまいます。
対策は考えつきますが、Laravelのでそもそも機能としてあるであったり、対策が不十分ではないかといったご意見をお聞かせいただけないでしょうか?
考えつく実装方法
データを保存、詳細表示、修正の時はログイン中のユーザーのIDと登録した商品のIDを比較します。
下記は、ユーザーが所持する商品を管理する機能を実装する方法を例にしたいと思います。
ルーティング
ログインしているユーザーに紐づくず商品の作成、更新、削除、一覧を一通りようしたいので、Route::resource
を指定して、ProductController
に関数を用意します。
php
1Route::resource('products', 'ProductController');
そのため、更新、詳細表示、削除では、products.{product}
のように登録した商品情報のidが付与されます。
モデル
モデル名はProduct
とします。
モデルでは、登録時に下記の情報をデータベースに保存します。
実際は、他のユーザーに見られて困る情報を追加します。
- id:ユニークな個別のID
- name:商品名
- user_id:登録したユーザーのID
コントローラ
ログイン中のユーザーとルートに付与されたproductのidを比較し、違えば404を表示させる事で回避させようと思います。
ProductController.php
php
1use Illuminate\Support\Facades\Auth; 2use App\Product; 3 4class ProductController extends Controller { 5 // 商品一覧 6 public index(){ 7 // バックエンドで出すもの決めるため対策なし 8 } 9 10 // 商品作成 11 public create(){ 12 // ユーザーの所有が決まっていないため対策なし 13 } 14 15 // 商品登録 16 public store(Request $request) { 17 // ユーザーの所有が決まっていないため対策なし 18 } 19 20 // 詳細表示 21 public show(Product $product) { 22 // ログイン中のユーザーと、登録時のユーザーIDが一緒か確認 23 if(Auth::id != $product->user_id) { 24 return abort('404'); 25 } 26 27 // 省略 28 } 29 30 // 変更 31 public edit(Product $product) { 32 // ログイン中のユーザーと、登録時のユーザーIDが一緒か確認 33 if(Auth::id != $product->user_id) { 34 return abort('404'); 35 } 36 37 // 省略 38 } 39 40 // 更新 41 public update(Request $request, Product $product) { 42 // ログイン中のユーザーと、登録時のユーザーIDが一緒か確認 43 if(Auth::id != $product->user_id) { 44 return abort('404'); 45 } 46 47 // 省略 48 } 49 50 // 削除 51 public update(Product $product) { 52 // ログイン中のユーザーと、登録時のユーザーIDが一緒か確認 53 if(Auth::id != $product->user_id) { 54 return abort('404'); 55 } 56 57 // 省略 58 } 59} 60 61
回答1件
あなたの回答
tips
プレビュー