laravel でミドルウェアがうまく機能しない

ログインすらしていないユーザーに対しては、しっかりloginページへと移行するのですが、buyerとしてログインしている状態であれば、他のユーザーのマイページをみれてしまう状態です。

! Auth::guard('buyers')->user()とする事で、「ログインしている特定のユーザーでなければ、、、」と言う処理をしている。と言うのが私の認識なのですが、間違っていますでしょうか。

CheckLoggedIn.php

<?php
namespace App\Http\Middleware;

use Illuminate\Support\Facades\Auth;
use Closure;

class CheckLoggedIn {
    /**
     * Handle an incoming request.
     *
     * @param  \Illuminate\Http\Request  $request
     * @param  \Closure  $next
     * @return mixed
     */
    public function handle($request, Closure $next)
    {
        if (! Auth::guard('buyers')->user()) {
            return redirect('buyers/login');
        }

        return $next($request);
    }
}

Kernel.php

      'buyer_auth_check' => \App\Http\Middleware\CheckLoggedIn::class,

web.php


Route::prefix('buyers')->name('buyers.')->group(function () {
    //バイヤーマイーぺージ
    Route::get('{id}/index', 'BuyerController@index')->name('index')->middleware('buyer_auth_check');
    //プロフィールぺージ
    Route::get('{id}', 'BuyerController@show')->name('show')->middleware('buyer_auth_check');
    //プロフィールぺージ更新
    Route::post('{id}', 'BuyerController@update')->name('update')->middleware('buyer_auth_check');
    //プロフィールメールリセットメール送信画面
    Route::get('email/profile/reset/{id}', 'BuyerController@emailReset')->name('email.reset')->middleware('buyer_auth_check');
   //プロフィールメールリセットメール送信
    Route::post("email/profile/reset/{id}", "BuyerController@emailUpdate")->name('email.update')->middleware('buyer_auth_check');
   //プロフィールメールリセットメール完了
    Route::get("reset/{token}", "BuyerController@reset")->middleware('buyer_auth_check');
    //プロフィールパスワードリセット
    Route::get("password/profile/reset/{id}", "BuyerController@passwordReset")->name('password.reset')->middleware('buyer_auth_check');
    //プロフィールパスワードリセット完了
    Route::post("password/profile/reset/{id}", "BuyerController@passwordUpdate")->name('password.update')->middleware('buyer_auth_check');
    });

行動規範の内容に同意します

回答1件

ベストアンサー

今のミドルウェアの実装は「buyersテーブルのユーザーでログインしているかどうか」です。
もし、質問者さんのいう「ログインしている特定のユーザーでなければ、、、」を実装したいならば、ログインのチェック後に、ログインしているユーザーのidがパスパラメーターと一致するかの判定を行う必要があります。下のような感じです。

php
1public function handle($request, Closure $next)
2    {
3        if (! Auth::guard('buyers')->user()) {
4            return redirect('buyers/login');
5        }else{
6            if( Auth::guard('buyers')->user()->id === (int)$request->route()->parameter("id") ){
7                 return $next($request);
8             }else{
9                 // ログインしているがユーザーが違う場合のリダイレクト
10                 return redirect('home');
11             }
12        }
13    }

一般的な実装ですと、ユーザーidはパスパラメーターから取るよりAuthの情報から取る方が一般的かと思います。その方がルーティングもシンプルですし、ログインしているのに他のユーザーページに間違えて飛んだ時にリダイレクトされる心配がなくなります。
コントローラー内でAuthからidを取る方法も検討して見てください。

投稿2020/08/25 06:03

編集2020/08/25 06:04