Q&A
> laravel5.6まではusersテーブルにverifiedカラムやverification_tokenを用意してメール確認を行っていたようですが、5.7からはemail_verified_atカラムだけになっています
そんなことあったっけ?と思って、実際にインストールして、migrationファイルを調べましたが、5.6から変わったという事実を確認できませんでした。
認識に相違がないかを今一度ご確認ください。
前提・事実
laravel6で会員登録時のメール確認を実装しています
readoubleによるとEmail Verificationに必要なemail_verified_atカラムはマイグレーションを行うことであらかじめ作成されます
migrationのファイルを以下に示しますが、varification_tokenのようなメール確認用トークンのカラムが見当たりません
php:
1public function up() 2 { 3 Schema::create('users', function (Blueprint $table) { 4 $table->id(); 5 $table->string('name'); 6 $table->string('email')->unique(); 7 $table->timestamp('email_verified_at')->nullable(); 8 $table->string('password'); 9 $table->rememberToken(); 10 $table->timestamps(); 11 }); 12 }
質問1
laravelのメール確認について、私は以下のように考えていたのですが、正しいですか?
間違っていたら教えてください
0. 会員登録する(仮登録)
0. 期限付きトークンを生成してtokenカラムに保存
0. emailとtokenの情報を含んだURLを送る
0. 送られたURLへアクセスする
0. アクセスがあったURLの情報からemailとtokenを照合
0. 登録完了
質問2
tokenがなければ、emailの情報を含んだURLでアクセスするだけでメール確認が行えるように思えます
なぜtokenカラムを用意しなくてもメール確認ができるのですか?
メール確認ができる仕組みを教えてください
表現が不十分で失礼しました
5.6まではlaravel側で用意しているのではなく、自分でverifiedやtokenカラムをusersテーブルに追加して、
RegisterControllerなどを変更して実装していたそうです
こちらでも確認してみましたが、5.7からはemail_verified_atが追加されています
公式ドキュメント(https://laravel.com/docs/5.7)にEmail Verificationの項目があるのは5.7からでした
以下の記事を参考にしました
https://qiita.com/nitaking/items/588a645968efcac6d37a
https://blog.capilano-fw.com/?p=449
参考ページの記事が間違ってるわ
回答2件
0
自己解決
ソースコードを順に見て行ったところ、laravelでは期限付き署名URLを用いてメールアドレスの確認を行なっていることがわかりました
署名には、送信USL・有効期限・環境変数を用いているようです
署名URL生成は以下のコードのreturnの部分
$this->keyResolverの部分で環境変数が使われているそうです
php
1// Illuminate\Routing\UrlGenerator.php 2public function signedRoute($name, $parameters = [], $expiration = null, $absolute = true) 3 { 4 $parameters = $this->formatParameters($parameters); 5 6 if (array_key_exists('signature', $parameters)) { 7 throw new InvalidArgumentException( 8 '"Signature" is a reserved parameter when generating signed routes. Please rename your route parameter.' 9 ); 10 } 11 12 if ($expiration) { 13 $parameters = $parameters + ['expires' => $this->availableAt($expiration)]; 14 } 15 16 ksort($parameters); 17 18 $key = call_user_func($this->keyResolver); 19 20 return $this->route($name, $parameters + [ 21 'signature' => hash_hmac('sha256', $this->route($name, $parameters, $absolute), $key), 22 ], $absolute); 23 } 24
検証部分は以下のコード
URLのsignature以外の部分のハッシュ関数の値が、signatureの部分と一致していることと、期限が有効であるかを検証しています
php
1// Illuminate\Routing\UrlGenerator.php 2 public function hasValidSignature(Request $request, $absolute = true) 3 { 4 return $this->hasCorrectSignature($request, $absolute) 5 && $this->signatureHasNotExpired($request); 6 } 7 8 public function hasCorrectSignature(Request $request, $absolute = true) 9 { 10 $url = $absolute ? $request->url() : '/'.$request->path(); 11 12 $original = rtrim($url.'?'.Arr::query( 13 Arr::except($request->query(), 'signature') 14 ), '?'); 15 16 $signature = hash_hmac('sha256', $original, call_user_func($this->keyResolver)); 17 18 return hash_equals($signature, (string) $request->query('signature', '')); 19 } 20 21 public function signatureHasNotExpired(Request $request) 22 { 23 $expires = $request->query('expires'); 24 25 return ! ($expires && Carbon::now()->getTimestamp() > $expires); 26 }
投稿2020/06/26 11:58
総合スコア0
0
質問2
のぶんだけ。
Illuminate\AuthMustVerifyEmail クラスの hasVerifiedEmail() の実装を調べてみてください。
trait MustVerifyEmail { /** * Determine if the user has verified their email address. * * @return bool */ public function hasVerifiedEmail() { return ! is_null($this->email_verified_at); } }
middleware の実装ですので、route や controller に verified を設定すると、hasVerifiedEmail() で認証済みかどうかが判定されます。
投稿2020/06/26 04:18
総合スコア3923
ありがとうございます
お礼よりむしろ、理解できたのかどうかがわかるフィードバックをください。
email_verified_atがnullなら未確認、時間がセットされていれば確認済みということはわかりますが、どのような手順を踏んででemail_verified_atがセットされるのかやメールアドレスの真正性を確かめる仕組みが、まだ理解していません
検証環境は作成済みですか?
.envファイルでAPP_ENV=testingとすればいいですか?
動作確認できる環境はできてます
実際にどのタイミングで、email_verified_at に値が入るのか、確認しましたか?
Auth/VerificationController から処理を追っかけていてがわかると思いますよ。
あなたの回答
tips
プレビュー
