CakePHP4 | Authorization によるユーザーアクセス制御

CakePHP4 には、ログイン処理を簡単に組み込める、Authenticationというユーザー認証のプラグインがあります。

しかしながら、authentication は、ログインができるか、できないか、というシンプルな機能であるため、

ユーザーごとに、ページのアクセス制御などができません。

これを実現するためには、Authorization を利用することで実現することができます。

日本のページがないので、わかりにくい部分もありますが、とても簡単に、ユーザーごとのアクセス制御ができます。

authorization のインストール
プラグインの設定
Application クラスの修正
アクセス制御
Policy の作成
Policy Scopes の生成
CakePHP Authorization 2.x Cookbook

authorization のインストール

php composer.phar require "cakephp/authorization:^2.0"

1	php composer.phar require "cakephp/authorization:^2.0"

[ec2-user@ip-172-31-1-131 html]$ composer require "cakephp/authorization:^2.0"
./composer.json has been updated
Running composer update cakephp/authorization
Loading composer repositories with package information
Info from https://repo.packagist.org: #StandWithUkraine
Updating dependencies
Lock file operations: 1 install, 0 updates, 0 removals
  - Locking cakephp/authorization (2.2.0)
Writing lock file
Installing dependencies from lock file (including require-dev)
Package operations: 1 install, 0 updates, 0 removals
  - Downloading cakephp/authorization (2.2.0)
  - Installing cakephp/authorization (2.2.0): Extracting archive
Generating autoload files
55 packages you are using are looking for funding.
Use the `composer fund` command to find out more!

[ec2-user@ip-172-31-1-131 html]$ composer require "cakephp/authorization:^2.0"

./composer.json has been updated

Running composer update cakephp/authorization

Loading composer repositories with package information

Info from https://repo.packagist.org: #StandWithUkraine

Updating dependencies

Lock file operations: 1 install, 0 updates, 0 removals

- Locking cakephp/authorization (2.2.0)

Writing lock file

Installing dependencies from lock file (including require-dev)

Package operations: 1 install, 0 updates, 0 removals

- Downloading cakephp/authorization (2.2.0)

- Installing cakephp/authorization (2.2.0): Extracting archive

Generating autoload files

55 packages you are using are looking for funding.

Use the `composer fund` command to find out more!

プラグインの設定

src/Application.php に以下の内容を追記します。

$this->addPlugin('Authorization');

1	$this->addPlugin('Authorization');

Application クラスの修正

src/Application.php に以下の内容を追記します。

use Authorization\AuthorizationService;
use Authorization\AuthorizationServiceInterface;
use Authorization\AuthorizationServiceProviderInterface;
use Authorization\Middleware\AuthorizationMiddleware;
use Authorization\Policy\OrmResolver;
use Psr\Http\Message\ResponseInterface;
use Psr\Http\Message\ServerRequestInterface;

use Authorization\AuthorizationService;

use Authorization\AuthorizationServiceInterface;

use Authorization\AuthorizationServiceProviderInterface;

use Authorization\Middleware\AuthorizationMiddleware;

use Authorization\Policy\OrmResolver;

use Psr\Http\Message\ResponseInterface;

use Psr\Http\Message\ServerRequestInterface;

AuthorizationServiceProviderInterface を implements するように追記します。

class Application extends BaseApplication implements AuthorizationServiceProviderInterface

1	class Application extends BaseApplication implements AuthorizationServiceProviderInterface

middleware() に、以下の内容を追記します。

public function middleware(MiddlewareQueue $middlewareQueue): MiddlewareQueue
{
    // Middleware provided by CakePHP
    $middlewareQueue->add(new ErrorHandlerMiddleware(Configure::read('Error')))
        ->add(new AssetMiddleware())
        ->add(new RoutingMiddleware($this))
        ->add(new BodyParserMiddleware())

        // If you are using Authentication it should be *before* Authorization.
        ->add(new AuthenticationMiddleware($this));

        // Add the AuthorizationMiddleware *after* routing, body parser
        // and authentication middleware.
        ->add(new AuthorizationMiddleware($this));

    return $middlewareQueue();
}

public function middleware(MiddlewareQueue $middlewareQueue): MiddlewareQueue

{

// Middleware provided by CakePHP

$middlewareQueue->add(new ErrorHandlerMiddleware(Configure::read('Error')))

->add(new AssetMiddleware())

->add(new RoutingMiddleware($this))

->add(new BodyParserMiddleware())

// If you are using Authentication it should be *before* Authorization.

->add(new AuthenticationMiddleware($this));

// Add the AuthorizationMiddleware *after* routing, body parser

// and authentication middleware.

->add(new AuthorizationMiddleware($this));

return $middlewareQueue();

}

src/Application.php に、以下のメソッドを追記します。

public function getAuthorizationService(ServerRequestInterface $request): AuthorizationServiceInterface
{
    $resolver = new OrmResolver();

    return new AuthorizationService($resolver);
}

public function getAuthorizationService(ServerRequestInterface $request): AuthorizationServiceInterface

{

$resolver = new OrmResolver();

return new AuthorizationService($resolver);

}

src/Controller/AppController.php に、下記の内容を追記します。

$this->loadComponent('Authorization.Authorization');

1	$this->loadComponent('Authorization.Authorization');

ここまでで、必要な初期設定は完了となります。

アクセス制御

各メソッドに、アクセス制御を追記します。

例えば、edit にアクセスする権限をチェックする場合には、以下のようになります。

public function edit($id = null)
{
    $memo = $this->Memo->get($id);
    $this->Authorization->authorize($memo, 'update');

    // Rest of action
}

public function edit($id = null)

{

$memo = $this->Memo->get($id);

$this->Authorization->authorize($memo, 'update');

// Rest of action

}

Policy の作成

CakePHP では、Policy を利用して、アクセス制御を行います。

src/Policy に、各Policyファイルを置いていきます。

Userの場合には、下記の場所に保存します。

src/Policy/MemoPolicy.php

<?php
namespace App\Policy;

use App\Model\Entity\User;
use Authorization\IdentityInterface;

class MemoPolicy
{
}

<?php

namespace App\Policy;

use App\Model\Entity\User;

use Authorization\IdentityInterface;

class MemoPolicy

{

}

bake でも生成することができます。

bin/cake bake policy --type entity Memo

bin/cake bake policy --type table Memos

bin/cake bake policy --type entity Memo

bin/cake bake policy --type table Memos

Policy メソッドを追記します。

public function canUpdate(IdentityInterface $ident, Memo $memo)
{
    return $ident->id == $memo->user_id;
}

public function canUpdate(IdentityInterface $ident, Memo $memo)

{

return $ident->id == $memo->user_id;

}

Policy Scopes の生成

アクセス制御で、さらにデータごとに、制御する場合には、Policy Scopes を生成します。

amespace App\Policy;

class MemosTablePolicy
{
    public function scopeIndex($user, $query)
    {
        return $query->where(['Memos.user_id' => $user->getIdentifier()]);
    }
}

amespace App\Policy;

class MemosTablePolicy

{

public function scopeIndex($user, $query)

{

return $query->where(['Memos.user_id' => $user->getIdentifier()]);

}

コントローラーでは、以下のように利用します。

$this->Authorization->authorize($query);
$memos = $this->paginate($this->Authorization->applyScope($query));

1 2	$this->Authorization->authorize($query); $memos = $this->paginate($this->Authorization->applyScope($query));

CakePHP Authorization 2.x Cookbook

公式サイトには、日本語のページがありませんが、簡単に一読されると理解が深まると思います。

Quick Start - 2.x

CakePHP4 | Authorization によるユーザーアクセス制御

authorization のインストール

プラグインの設定

Application クラスの修正

アクセス制御

Policy の作成

Policy Scopes の生成

CakePHP Authorization 2.x Cookbook

おススメ商品

PHPフレームワーク CakePHP 3入門

CakePHP 超入門

はじめてのCakePHP 改訂版: 日本でも人気!無料で使えるPHP用フレームワーク (I/O BOOKS)

CakePHP ポケットリファレンス (POCKET REFERENCE)

CakePHPで学ぶ継続的インテグレーション

CakePHPによる実践Webアプリケーション開発