Q&A
現在、LaravelにてCRUD機能を作っています。
例えば、私がブログを作成します。そのブログはpostsテーブルにidが3で保存されたとします。
ですので、編集する場合には以下のページになります。
http://example.test/posts/3/edit
そこで、私(投稿した人)しかアクセスできないようにしたいのですがどのように対応すればベストでしょうか?
対応方法1はスマートではないと思いますが、対して対応方法はスマートかもしれませんが403が出てしまうのでそこはどうかなと思う次第です。
対応方法1 ログインしているユーザーが投稿したブログと一致しているかで制御する
PostsController.php
public function edit(Post $post) { $user = Auth::user(); if (!$user->posts()->where('id', $post->id)->exists()){ abort(404); } return view('posts.edit', compact('post')); } public function update(Post $post) { $user = Auth::user(); if (!$user->posts()->where('id', $post->id)->exists()){ abort(404); } //アップデート処理が入る return redirect('/posts'); }
対応方法2 Policyを使う
PostsController.php
public function edit(Post $post) { $this->authorize('view', $post); $user = Auth::user(); return view('posts.edit', compact('post')); } public function update(Post $post) { $this->authorize('update', $post); $user = Auth::user(); //アップデート処理が入る return redirect('/posts'); }
回答1件
0
ベストアンサー
対応方法1をミドルウェアとして実装して使うのは?
そのソースでしか使わない書き方なら対応方法1のままで十分スマートだと思いますけどね
投稿2020/09/09 23:14
総合スコア6426
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。