Laravel5.4でマルチ認証(userとadmin)を実装する方法
実装方法 ユーザー側はLaravel通常の方法を利用し実装 adminsテーブルとAdminモデルの作成 auth.phpの編集と管理者ログイン画面のリダイレクト先追加 ルーティングの設定 コントローラーの設定 ビューの設定 1. ユーザーはLaravel通常の方法を利用し実装 php artisan make:auth と php artisan migrate を実行する。 2. adminsテーブルとAdminモデルの作成 php artisan make:migration create_admins_table を実行してマイグレーションファイルを作り、以下のように編集。(今回はusersテーブルと同じカラム構造) <?php use Illuminate\Support\Facades\Schema; use Illuminate\Database\Schema\Bluepri
ユーザー認証(10)Laravel 5.2 マルチ認証 – ララジャパン
マルチ認証と言っても、複数のステップでユーザーを認証するわけでもなく、ちょっとピンと来ないですね。 例えばECシステムにおいて、ユーザー画面での会員ログインと、管理画面での管理者のログインがそれぞれ別に必要とします。どちらもログインはEメールとは限らないし、片方でログインしたらもう片方でも認証となるとも限りません。つまり、ログインするユーザーの種類や場所が複数必要となる状況が多々あります。それに対応する機能が、マルチ認証です。 Laravelの5.1までは、マルチ認証は対応していなく、以下のようなパッケージをインストールして使用していました。 Laravel4.2対応のLaravel Multi Auth Laravel5.1対応のMultiAuth for Laravel 5.1 しかし、5.2からはLaravelの基本仕様となっています。さすが、Taylorくん! 今回はこの機能を見て
Laravel Angular Material Starter API認証周りの構成についてのメモ – hrendoh's tech memo
Laravel Augnlar Material Starterは、フロントエンドにAngular Material、バックエンドAPIにLaravelを利用したシングルページアプリケーションを開発するためのスターターパッケージです。 Laravelは、Laravel ElixirというJavascriptやCSSなどのアセットをビルドするためのgulpタスクがフレームワークに予め含まれていますが、Laravel Angular Material Starterは、AngularJSとAngularJSベースのUIコンポーネントフレームワーク Angular MaterialをビルドするためにLaravel Elixirが予め構成されたLaravelプロジェクトと言った構成になっています。 また、フロントエンドのAngularJSから呼び出されるLaravel側のAPIに対する認証はJWT
[Laravel5.5でREST API + SPA] JWTAuthでのAPI認証にRole機能を追加する | nitd Inc.
ユーザの種類によって許可するメソッドを分けたい ユーザの種類って1種類だけってことはまずないですよね。 少なくとも一般ユーザと管理者の2種類は必要になるケースがほとんどだと思います。 そういった場合に必要なRole機能をLaravel + JWTAuthで実装する方法をご紹介します。 関連記事 : [Laravel5.5でREST API + SPA] API認証を実装する (JWTAuth) バックエンド編 ちなみに、JWTAuthでのAPI認証自体の記事はけっこう数がありますが、 そこにRole機能をプラスする方法を紹介している記事は見当たりませんでした。 この記事がお役に立てれば幸いです。 JWTAuthがやっている処理を確認してみる Route::group(['middleware' => 'api'], function () { Route::group(['middlewa
![[Laravel5.5でREST API + SPA] JWTAuthでのAPI認証にRole機能を追加する | nitd Inc.](https://cdn-ak-scissors.b.st-hatena.com/image/square/d353661f29562ecf69b42a0d5274b69998e4f27d/height=288;version=1;width=512/https%3A%2F%2Fnitd.co.jp%2Fwp-content%2Fuploads%2F2018%2F06%2Fnitdlogo3.png)
Laravel Gate(ゲート)、Policy(ポリシー)を完全理解 | アールエフェクト
LaravelのGate(ゲート)とPolicy(ポリシー)は名前も名前から想像するイメージも全く異なるため別の機能だと認識していまいそうですがどちらもAuthorization(認可)に関する機能です。 認可はLaravelのドキュメントでは、”authorize user actions against a given resource”と説明されています。日本語では”あたえられたリソースに対するユーザのアクションに許可を与える”という意味になるかと思います。簡単に言えばだれにある特定の処理を行う許可を与えるかどうかです。 認可という言葉を使う機会がないのでイメージしづらいかもしれませんのでブログの例を使って説明します。あるユーザがブログの記事を作成しました。そのブログに対して誰に削除許可を与えるのかといった制限を行うことを認可といいます。許可を与えるのはそのユーザ自身のみなのかそれと
Laravelの認証/認可。Auth,Gate,Policyの再整理 | codechord
Posted 12月 10th, 2018 by codechord. 2 Comments Tweet Tweet アドベントカレンダーに触発されて、記事を書いたところ、ちょうど枠に空きが出たので、投稿したいと思います。 Laravelのドキュメントって結構分かりやすく書かれている方だと自分は思っているんですけど、今日はその中でもこんがらがりがちな「認証と認可」について今一度、整理したいと思います。どういうケースに使えるのかとか。 なお、「認証」の方はartisan make:authしたら概ね完成しちゃいますが、認可って便利なので、認可の説明が多いです。 実世界に置き換えて考える 技術的な話に入る前に、日本語の「認証と認可」を理解します。というのも、「認証と認可」という日本語もわからないし、英語の「Authentication、Authorization」もわからないので。。。言語って
Auth0を使ってSPA(Vue.js, Python)の認証機能を作ってみた - JX通信社エンジニアブログ
はじめに インターンでお世話になっている、コウゲと申します。現在担当させていただいている仕事は業務で使用している管理画面のマイクロサービス化です。 マイクロサービス間をつなぐ認証機能が必要だったので、認証プラットフォームとして使いやすそうな 「Auth0」で どんなことができるのか、実現したいことは可能なのかを検証してみることになりました。 なぜAuth0なのか ダッシュボードの設定 + 少ないコード で認証機能が簡単に実装できる。 Auth0専用ライブラリやSDKが多数存在し、目的に応じてそれを利用することで 簡単にログイン機能を実装することができる。 実現したいこと 発表 ありがたいことに、調べた結果を社内で発表する場を設けていただきました。 ブログの内容より少し詳しく書いています。読んだら即実装できるようなスライドを心がけて作りました! speakerdeck.c
Nuxt.jsのAuth認証の設定(バックエンド設定含む) | アールエフェクト
本文書ではNuxt.jsのモジュールnuxtjs/authを使い、Tokenを利用したJWT(JSON WEB TOKEN)のAuth(認証)の設定を行っています。Nuxt.jsでJWTの認証を行うためにはバックエンドが必要になります。バックエンドにはNodeのExpress.jsを使って構築します。本文書を読むことでNuxt.js環境下でTokenを利用したユーザ認証の設定手順の流れを理解することができます。 Tokenを使った認証の設定が行えることを本書の目的としているため入力フォームのデザイン、バリデーションやセキュリティについての説明は行っていません。特にセキュリティについてはJWTの設定方法がわかった後にしっかりと勉強してください。 Express.jsを使ったバックエンドの設定については一緒に記述すると文書が長くなるためまたフロントエンドにNuxt.jsを利用した場合のみ利用で
JOSE(JavaScriptオブジェクトへの署名と暗号化)は、絶対に避けるべき悪い標準規格である | POSTD
注: 本稿は元はJSON Web Tokens(JWT)について書いたものですが、JWTはJavascript Object Signing and Encryption(JOSE)のサブセットであるため、以下の批評はどちらかというとJOSE全体に焦点を当てています。 もし既にJavascript Object Signing and Encryption(JOSE)を実装することを決めているなら、それがJSON Web Tokens、JSON Web Encryption(JWE)、JSON Web Signatures(JWS)のいずれであっても、その決断に疑問を持つべきです。間違いを犯そうとしている可能性があります。 この投稿に書いたことはすべて、RFC 7519、RFC 7515、そしてRFC 7516に則っています。将来、新規のRFCでは以下に挙げるような欠陥はなくなっている可能
Laravel + JWTAuth + Vue.js でAPIログイン認証の実装
Posted: 2018.10.11 / Category: PHP / Tag: Laravel Laravel + JWTAuthでAPIログインを実装して、Vue + VueRouter で簡易的に使用するところまでやってみます。 Laravel認証の設定 最初にLaravel側を作っていきましょう。 artisanで標準のWeb認証機能をサクッと作ります。 ターミナルで下記コマンドを実行します。 $ php artisan make:auth $ php artisan migrate シーダーでダミーのユーザー情報も登録しておきます。 database/seeds/UsersTableSeeder.php <?php use Illuminate\Database\Seeder; class UsersTableSeeder extends Seeder { public fun
Laravel PassportのAPI認証で利用するCookieの名称を変更する方法 | 綺麗に死ぬITエンジニア
LaravelでAPIを実装・構築後、API認証(Passport)を利用した上で、更に自身のJavaScript(同一サーバー)から構築したAPIを利用したい場合、CreateFreshApiTokenミドルウェアを利用することで簡単にAPIを利用できるようになります。 同一サーバーから構築したAPIを利用するのに、わざわざOAuth認証を経由するのは面倒です。 そこで、CreateFreshApiTokenミドルウェアは、laravel_tokenという名称のCookieを、送信するレスポンスへ付加します。このCookieは、JavaScriptアプリケーションからのAPIリクエストを認可するために使用する、暗号化されたJWTを含んでいます。 そのため、OAuthの手順を踏むことなく、APIへのリクエストを作成できるようになります。(別途X-CSRF-TOKENヘッダー及びX-Requ
laravel-passport-javascript-api#%E3%81%A1%E3%81%AA%E3%81%BF%E3%81%AB
Laravel Passportは、Laravel上にOAuth2によるAPI認証を簡単に実装できるライブラリです。 この、Laravel Passportを利用すると、自身のWebアプリケーション上に実装したAPIを、外部へと簡単にセキュアに公開できます。 しかしながら、自身のWebアプリケーションの画面上でも同一のAPI利用したい場合があるでしょう。そんな場合もいちいち認証処理を経由するのは面倒なので、Laravel Passportでは自身のJavaScriptからAPIを利用する方法が用意されています。今回はそれについて紹介します。 今回紹介している方法は、一部公式ドキュメントに方法の記載がありますが、そのとおりにやってもトークンの渡し方に不備があり認証が通らないことがあったので、その点を踏まえ公式ドキュメントよりも詳しく解説していきます。 前提公式ドキュメント(日本語翻訳サイト)
JWTを認証用トークンに使う時に調べたこと - Carpe Diem
概要 JWTを認証用トークンに使う時に調べたことをまとめます。 JWTとは JWTはJWSやJWEの構造の中にエンコードして埋め込まれるJSON形式のclaimのセットです。 一般的にはJWS形式のJWTが使われるのでそれを前提に進めます。 JWS形式のJWTは以下のフォーマットです。 {base64エンコードしたheader}.{base64エンコードしたclaims}.{署名} 以下の特徴があります。 発行者が鍵を使ってJSONを署名(or HMAC)し、トークンとして扱う。 暗号化ではないので、JSON の中身は誰でも見られる。 発行者は鍵を使ってメッセージの検証ができるので、改竄を検知できる。 以上の点からトークンとして向いているため、認証トークンとして用いられるようになってきました。 Cookieとの認証フロー比較 ref: Cookies vs Tokens. Getting
【REST API】認証トークンをどのように扱うのが良さげか調べたことをまとめる - s u p ?
#142 JWTどこに保存するべきか問題 JWTをどこに保存するかを色々調べていたので、それらについて端的にまとめる。そもそもAPIファーストでフロントとバックが疎結合なアーキテクチャはなぜセッションではなくJWTみたいな認証トークンを使用するのかや、APIのRESTの考え方からもう一度復習することにした。 目次 APIはステートレスであるべきというRESTの考え RESTの考え方の1つに「ステートレス」というものがある。APIは「状態を保持しない」設計にしろということである。そもそもHTTP通信は「ステートレス」であり、それだと色々困ることがあったからセッションというものが登場した。セッションは「ステートフル」であり、「状態を保持する」機能である。ステートフルなセッションは、誰のものか判別するために一意のIDが必要になる。一般的にそのIDを保存する場所がCookieであり、クライアント側
SPA開発未経験者によるNuxt.jsを使った自社サービス開発の裏側
2019年1月30日、株式会社Re:Buildが主催するイベント「【Nuxt.js/Vue.js】スタートアップ企業導入事例」が開催されました。近年注目を集めるNuxt.jsやVue.jsを実際の開発現場でどのように活用しているのか、スタートアップ4社が集い、自社の取り組みを語ります。プレゼンテーション「SPA開発未経験者によるNuxt.jsを使った自社サービス開発」に登壇したのは、株式会社リビルドの嘉数侑起氏。講演資料はこちら SPA開発未経験者によるNuxt.jsを使った自社サービス開発 嘉数侑起氏(以下、嘉数):みなさん、こんばんは。「SPA開発未経験者によるNuxt.jsを使った自社サービス開発」というタイトルで、プレゼンさせていただきます。株式会社Re:Buildの嘉数と申します。よろしくお願いします。 こちらがアジェンダです。 今回、Nuxt.jsをこれから導入しようと検討し
Laravelで爆速API開発シリーズ「JWTユーザログイン編」 | WINDII
Laravelで爆速API開発シリーズ第一弾は「ユーザログイン」です! ステートレスWebAPIを構築するなら必ず押さえておきたいJWT認証の導入方法とPOSTMANの使い方を徹底解説します。 ゴール 二つのエンドポイントを作成する [POST]/api/login ユーザ名とパスワードをリクエストするとjwtトークンが返ってくる [GET] /api/me jwtトークンを付与してリクエストするとユーザ情報が返ってくる 使うもの POSTMAN POSTMANは、httpリクエストを簡単に送れる便利なツールです。使い方がわからない人もこの記事でバッチリ説明するのでとりあえずダウンロードしておきましょう! Laravelプロジェクトの作成 まずは新規プロジェクトを作成しましょう。 composer create-project laravel/laravel --prefer-dist l
認証を含む API 開発で検討すべきこと - ボクココ
ども、@kimihomです。 API に関する基礎的な話で、なぜ API が重要なのか、APIの実装で注意する点について記述した。 今回はAPI開発において最も頭を悩ます、認証の問題について考えてみたい。 API における認証 よくあるログインが必要なページを考えてみていただきたい。 通常のWebアプリケーションであれば、Cookieという仕組みを使って毎回Webサーバーにアクセスするときにsession idというものを送信し、それとユーザー情報を紐付けたデータを取ってくることで、どんなユーザーからリクエストが来たのかをWebアプリケーション側で判断することができる。これにより、私たちはいつも閲覧しているWebアプリケーションが自分専用の画面として見れるようになっている。 これがAPIになると話は違ってくる。Cookieという仕組みが使えないのである。ということで、なんとかしてAPIにア
JWT認証、便利やん? - ブログ
どうして JWT をセッションに使っちゃうわけ? - co3k.org に対して思うことを書く。 (ステートレスな) JWT をセッションに使うことは、セッション ID を用いる伝統的なセッション機構に比べて、あらゆるセキュリティ上のリスクを負うことになります。 と大口叩いておいて、それに続く理由がほとんどお粗末な運用によるものなのはどうなのか。最後に、 でもそこまでしてステートレスに JWT を使わなくてはいけないか? とまで行っていますが、JWT認証のメリットはその実装のシンプルさとステートレスなことにあります。現実的には実際はDB参照とか必要になったりするんですが、ほとんど改ざん検証だけで済むのは魅力的です。トレードオフでリアルタイムでユーザー無効化ができないことくらいですかね。ライブラリなんて使う必要ないほどシンプルだし、トレードオフさえ許容できればむしろ、なぜこれ以上に複雑な認証
Laravel PassportでWeb APIの認証を実装する【初期設定編】 | 大阪のシステム開発なら 株式会社ウィズテクノロジー
システム部の髙橋です。 Laravel Passportで、Web APIの認証を実装するチュートリアルです。 このチュートリアルでは、最終的に以下のようなAPI認証を実装することを目的としています。 ① EmailとPasswordでWebアプリにログインする ② 管理画面で自身に紐づくTokenを発行、確認する ③ Tokenをリクエストヘッダーに含め、Web APIを利用する 今回は、初期設定編と題して、まずLaravel Passportの初期設定の方法を紹介します。 Laravel Passportとは Laravel passportは、LaravelによるWeb APIの認証の実装をサポートするライブラリです。 Laravel上で、OAuth2によるWeb APIの認証が実装できるようになります。 特徴としては、複数の認証フローをサポートすることなどがあげられます。 初めにや
Laravel PassportのAPI認証を理解する | アールエフェクト
Laravelでアプリケーションを構築した経験がある人ならログイン認証機能を利用することでLaravelへのユーザのアクセス制限を行えることは知っているかと思います。しかし、Laravelの外側のアプリケーションからアクセス制限のかかっているLaravel内のリソースにアクセスするためにはどうしたらいいのでしょう。そんな疑問を解決してくれるのがLaravel Passportです。 Laravel Passportを使用するとLaravel上でOAuth2.0に沿った形でAPIの認証機能を短時間で実装することができます。 OAuth2.0に沿った形でAPIの認証機能 といってもそれが何かわからないという人が大半だと思います。簡単に言えばLaravelの外側にあるアプリケーションからアクセスしたいリソースに対してアクセストークン(文字列)を使って管理するための仕組みです。 アクセス制限の行わ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
