はてなブックマーク

SPAやモバイルアプリから利用するAPIを開発する際の、トークン認証のお話です。 どの認証ライブラリを使うべきという話ではなく、トークン認証の論理的な設計について考察します。 私自身も結論が出ていないので、色んな意見が聞けると嬉しいです。 出発点 ユーザテーブルにアクセストークンを持つのが最も安直な発想だと思います。 ログイン成功時にアクセストークンを発行し、該当ユーザレコードにセット。 同時に有効期限もセットします。 認証時には、アクセストークンが存在し有効期限内であれば、認証を通過させ、 そうでなければ認証失敗とします。 ログアウト時には、該当ユーザレコードのアクセストークンを空にします。 発行日時を持ち、システム内に定義された有効期間をもとに、認証時に計算する方法もあると思います。 Laravel Sanctum 等はそういう実装です（しかもデフォルトでは有効期限なし）。 有効かどう

この記事は、社内向けの勉強会で喋った内容を関西型言語で書き起こしたものです。 元々初級者を想定した内容だったのですが、 ベテラン勢も、意外と知らないところが多かったようですね。 第1章 array_map のおさらい 先生「今日はコールバックについてお勉強しましょう。」 ワイ（コールバックってあれやろ。引数の中に function とかごにょごにょ書くやつやろ。） ワイ（あれごちゃごちゃしてるしわかりにくいし嫌いやねん。） 〜 先生「PHPでコールバックの代表格といえば、array_map() ですね。」 先生「1番基本的な使い方はこんな感じです。」 $array = [1, 2, 3, 4, 5]; function double(int $item) : int { return $item * 2; } $doubled = array_map('double', $array);

はじめに Webサイトのソースが改ざんされて、見れなくなった。 全然違うページが表示されている。 コードを修正してもすぐにまた改ざんされる。 ・・・といったご相談が相次いでおります。 Webサイトの何らかの脆弱性を突かれ、「バックドア」を設置された、というパターンです。 攻撃を受けたサイトのリカバリー対応は、本当に神経を使いますし、骨が折れます。 （そして何より生産的ではありません・・・） 折角なので、バックドアに対する理解を深めていただけると嬉しいなと思い、記事を書きました。 バックドアとはこんなもの 皆さん言葉は知っていると思いますが、 「バックドア」とは、ざっくり言うとこんなイメージのファイルです。 （詳細は後述しますが、これはあくまでイメージです。） <?php $path = __DIR__ . '/' . $_POST['path']; $content = $_POST['c

趣旨 エンジニア界隈からは何かと不評な WordPress ですが、一定の需要があることは認めざるを得ません。 何と言っても管理画面のユーザビリティは非常に運用者満足度が高く、 定番プラグイン Advanced Custom Field (特に有料版の Repeater や Flexible Content) を組み合わせた管理画面を見慣れている運用者に対して、 同等の使い勝手をスクラッチで提供するのは並大抵のことではありません。 しかし、複雑な検索機能や認証機能を有するサイトなど、高機能なサイトを開発するとなると、 WordPress で保守しやすいコードを書くのはまた至難の技です。 そこで、 管理画面は WordPress の管理画面を利用する フロント画面は Laravel で作る という発想に至りました。 勘所 本記事のテーマは大きく3つです。 Laravel + WordPres

Laravel 職人の皆さん、PHP Doc 書いてますか？ 「静的解析バリバリやってるぜ！」 という方は是非ブラウザバック願います。 この記事は、Laravel での開発をちょっと快適にする、PHP Doc の書き方をご紹介します。 先日開催されたPHPカンファレンス2021 の、 とあるセッションに触発されて走り書きした雑な記事ですが、 少しでも誰かのお役に立てば。 実験環境は以下のとおりです。 VisualStudio Code 1.60.2 PHP Intelephense 1.7.1 Laravel のバージョンは、たぶん関係ありません。 とりあえずコード書こうぜ の前に事前準備 サンプルとして、こんなテーブルがあるとします。 宗教上の理由でテーブル名に m_ とかついてたり、 プライマリーキーが xxx_id とかなってますが、悪しからず。 これに対応するモデルは、だいたいこん

Laravel のログイン認証周りのカスタマイズをする度、 「この場合どこをいじればいいんだっけ・・・」と混乱するので、 図にまとめてみました。 全体感を掴んでいただくことが目的ですので、 この記事では、具体的なカスタマイズのコードは紹介しません。 ご了承ください。 まずは登場人物一覧 ガード (guard) Laravel では「認証」と呼ぶことが多いです。 ログイン機構の種類を表します。 たとえば、ECサイトの「管理者」と「会員」など。 ログイン画面の数だけガードがある、というイメージです。 provider (認証方法) と driver (認証状態の管理方法) で構成されています。 config/auth.php に定義されており、追加・変更ができます。 ガードドライバ (driver) ログインの認証状態をどうやって管理するか。 多くの場合はセッション認証 (session) で

はじめに 「配列」は、プログラミング初学者の最初の関門のひとつであり、 そして一生の付き合いでもあります。 本記事は、PHPで配列を操作する演習問題集です。 ここに掲載している問題は全て for / foreach を使えば解けます。 初学者の方は、すぐにスマートな方法が思いつかなければ、 まずは for / foreach を使って解決してみてください。 それだけでも、十分配列の理解は深まります。 ただし、ここに掲載している問題は全て for / foreach を使わずに解けます。 ステップアップを目指す方は、ループ処理を使わない方法も考えてみてください。 使用方法 各問題のソースコードを手元のエディタに全文コピペします。 末尾の var_dump() の出力が、コメントの通りになるように、 // SOME CODE HERE // の箇所に、 処理を記述してください。 難易度：低 問

セキュリティは難しいです。 ですが、プログラミング初学者の皆さんは必要以上に萎縮せず、どんどんアプリケーションを作り、公開することにチャレンジして欲しいと私は思っています。 一方、事実として、脆弱なアプリケーションが公開されている（サーバ上でアクセス可能な状態になっている）だけで、全く無関係な第三者が被害を被る可能性があることは知っておく必要があります。 それはWordPressを使った単なるWebサイトであったとしても同じです。 また、あなたのアプリケーションが破壊されて困らないものであったり、 個人情報を保持していないものであったとしても、です。 だから、知らなかった、では済まされないこともあります。 この記事では、PHPのソースを例に、 特にプログラミング初学者が生み出しやすいアプリケーションの脆弱性について、 具体的なコードを挙げながら解説します。 なお、本記事のサンプルコードはも