ポリシーとゲートによる認可はどのように機能しますか？

Question

Accepted Answer

Laravel の**認可（authorization）**システムは、**認証済みのユーザーが何を行うことを許可されているか**を制御します（認証 — *誰* であるか — とは区別されます）。**ゲート（Gate）**は権限を表すシンプルなクロージャであり、**ポリシー（Policy）**は特定のモデルを中心に認可ロジックを整理するクラスです（例: 誰が Post を更新できるか）。 ## ゲート — シンプルなクロージャベースの権限 ```php // define a gate (e.g. in a service provider) Gate::define('edit-settings', fn($user) => $user->isAdmin()); // check it if (Gate::allows('edit-settings')) { ... } Gate::authorize('edit-settings'); // throws a 403 if denied ``` ゲートは、特定のモデルに紐づかないシンプルで独立した権限に適しています。 ## ポリシー — モデル中心の認可（一般的なケース） ```php id === $post->user_id; // only the author can update } public function delete(User $user, Post $post): bool { return $user->id === $post->user_id || $user->isAdmin(); } } ``` **ポリシー**クラスは、あるモデルに対する認可ルールをまとめます。各メソッドが「このユーザーはこのモデルに対してこのアクションを実行できるか？」に答えます。これにより、リソースごとに認可ロジックを整理して保つことができます。 ## ポリシーの利用 ```php // in a controller public function update(Request $request, Post $post) { $this->authorize('update', $post); // checks PostPolicy::update — throws 403 if denied // ... proceed (we know the user is authorized) } // the user model if ($request->user()->can('update', $post)) { ... } ``` ```blade {{-- in Blade — show UI only if authorized --}} @can('update', $post) Edit @endcan ``` `authorize()`/`can()` メソッド（および Blade の `@can`）は、ポリシーを自動的にチェックし、ユーザーに権限がない場合は 403 をスローしたり UI を非表示にしたりします。 ## なぜ重要なのか認可は不可欠であり、**セキュリティ上きわめて重要**です。認証済みユーザーが何を行うことを許可されているか（単にログインしているかどうかだけでなく）を制御することは、アプリケーションのセキュリティの基本であり、Laravel のポリシーとゲートはそれをクリーンかつ整理された方法で扱う手段を提供します。 **認証（authentication）**（あなたが誰であるか — ログイン）と**認可（authorization）**（あなたが何をできるか — 権限）の違いを理解することは基礎的であり、認可の失敗は深刻な脆弱性につながります（ユーザーが本来アクセスや変更を許されていないデータにアクセスする — 不適切なアクセス制御はトップクラスのセキュリティリスクです）。 Laravel のシステムは、相補的な 2 つのツールを提供します。**ゲート**はシンプルで独立した権限（クロージャベースのチェック）向けであり、**ポリシー**は一般的で推奨されるアプローチで、モデルの認可ルールを専用のクラスに整理します（例: 誰が Post を更新または削除できるか）。これにより、認可ロジックをリソースごとに構造化し、保守しやすく保ちます。ポリシー／ゲートを定義し、それらを強制する方法（`$this->authorize()`、`$user->can()`、Blade の `@can` — コントローラーでの権限チェック、403 のスロー、UI の条件付き表示）を理解することは、ユーザーが許可されたアクションのみを実行できる安全なアプリケーションを構築するうえで重要です。ほぼすべての実際のアプリケーションがきめ細かなアクセス制御を必要とし（ユーザーが自分のリソースのみを変更できるようにする、管理者アクションを制限するなど）、認可を誤ると危険なセキュリティホールが生じるため、Laravel のポリシーとゲート — 認可を実装する適切で整理された方法 — を知っておくことは、誰が何をできるかを正しく強制するアプリケーションを構築するうえで不可欠な、セキュリティに関わるシニアレベルの重要な知識です。これは実際のシステムで頻繁かつ重大な要件です。