コードでわかるLaravelのブラウザ認証

はじめに

Laravel 8からは、認証機能のscaffoldとして、これまで推奨されていたLaravel UIの代わりに、Laravel Jetstreamが推奨されるようになりました（Laravel 8でも使用することはできます）。しかし、このLaravel Jetstreamが高機能で見た目が良いかわりに、細かなカスタマイズがしにくいことから、Laravel UIを採用するケースもあるようです。

認証機能の実装については、これらのライブラリを使用する他に、Laravelの認証クラスを直接使って、自前の認証機能を実装することもできます。

そこで、今回はLaravelのブラウザ認証クラスの処理の流れをコードを示しながら紹介します。

認証機能の概要

認証機能では、guardとproviderが重要な概念となります。

guardは、リクエスト毎にユーザーを認証する方法を定義しています。これには、セッションストレージとクッキーを使って状態を保持するSessionGuardと、トークンを使って認証するTokenGuardがあります。

providerはデータベースなどの永続ストレージから、ユーザーを取得する方法を定義しています。これには、Eloquentを使うEloquentUserProviderと、クエリビルダーを使うDatabaseUserProviderがあります。

また、guardとproviderを自前で実装することもできます。

それでは、実際にコードを見てみましょう。

Controller

ログイン時、コントローラでは、Authファサードのattempt()メソッドでユーザーを認証します。

Auth::attempt()に認証で使用するパラメータの配列を渡します。実際には、SessionGuardクラスのattempt()メソッドが呼ばれます。

また、ログイン状態を維持したい場合は、attempt()メソッドの第2引数にtrueを渡します。

なお、ユーザーを取得する条件は、例の通りである必要はありません。たとえば、emailの代わりに、user_codeなどの何らかのユニークなカラムを指定することができます。さらに、credentials['role'] = 1;などのように、追加の条件を付加することもできます。

Authファサードのguard()メソッドを使うと、使いたいguardインスタンスを指定することができます。これにより、異なる複数の認証処理を併用することができます。

SessionGuard

SessionGuardクラスでは、ユーザの認証、RememberTokenの更新、認証済みのユーザーインスタンスへのアクセスなどの機能を提供します。

SessionGuardクラスのattempt()メソッドを抜粋しました。順番に処理を見てきます。

ここでは、auth.phpで指定したUserProviderのretrieveByCredentials()メソッドが呼ばれ、Illuminate\Contracts\Auth\Authenticatable、もしくは、nullが返却されます。

ここでは、(1)渡された認証情報を検証し、(2)成功すればイベントを発行します。

hasValidCredentials()メソッドで検証に失敗した場合、Failedイベントが発行されます

UserProviderは、データベースなどの永続ストレージからユーザーを取得する機能を提供します。

さいごに

Laravelのブラウザ認証の流れをコードを示しながら紹介しました。API認証の方も、似たような流れになっています。API認証に興味があれば、よければこちらの記事もご覧ください。

おすすめ書籍