Policy

ポリシー（認証と認可）

意味認可ロジックのカプセル化

Policyとは？

PolicyはLaravelで認可ロジックをカプセル化するためのクラスです。特定のモデルやリソースに対する操作の許可を決定するルールを定義します。

Policyの具体的な使い方

ポリシーの定義と使用

// app/Policies/PostPolicy.php
class PostPolicy
{
    public function update(User $user, Post $post)
    {
        return $user->id === $post->user_id;
    }
}

// app/Http/Controllers/PostController.php
class PostController extends Controller
{
    public function update(Request $request, Post $post)
    {
        $this->authorize('update', $post);
        
        // 投稿を更新するロジック
        $post->update($request->all());
        
        return response()->json(['message' => '投稿が更新されました']);
    }
}

👇出力結果

権限がある場合: {"message":"投稿が更新されました"}
権限がない場合: 403 Forbidden - この操作を実行する権限がありません。

この例では、PostPolicyクラスでupdateメソッドを定義し、ユーザーが投稿の作成者である場合にのみ更新を許可しています。コントローラーでは$this->authorize()メソッドを使用してポリシーをチェックし、権限がない場合は自動的に例外がスローされます。これにより、簡潔かつ再利用可能な形で認可ロジックを実装できます。

Policyに関するよくある質問

Q. Policyはどこで登録するの？

A. PolicyはAuthServiceProviderのbootメソッド内で登録します。例：Gate::policy(Post::class, PostPolicy::class); これにより、PostモデルにPostPolicyが自動的に適用されます。

Q. Policyのメソッド名は自由に決められる？

A. 基本的にはCRUD操作に対応する名前（view, create, update, delete等）を使用しますが、カスタムアクションに対しては自由に名前を付けられます。ただし、使用時にその名前を正確に指定する必要があります。

Q. Policyを使わずに権限チェックする方法は？

A. Gateファサードを使用して直接権限チェックを定義できます。例：Gate::define('update-post', function (User $user, Post $post) { return $user->id === $post->user_id; }); これは小規模なアプリケーションや、モデルに紐付かない権限チェックに適しています。

Policyが学べる書籍の紹介

「プログラミング単語帳」を使って、プログラミングの単語を英単語のように学習してみませんか？
プログラミング単語帳には、LaravelのPolicyや@cannot、Auth::id()、Gate::define()、などのような実務でよく使われる単語が数百以上収録されています。
この書籍には、プログラミングの単語の意味や読み方、単語の使い方がわかる例文などが掲載されており、いつでもどこでもプログラミングの学習ができます。

よく使われる単語にだけ絞って学習することができるので、効率的にプログラミングが学習できます。