ACLのSpatie laravel-permissionパッケージを使ってみる

LaravelでACL(Access Control List)を利用してアプリケーションのリソースに関してユーザのアクセスを制限したい場合があります。アプリケーション導入時にはアクセス制限を気にしなかったクライアントもアプリケーションが大きくなるにつれてアクセス制限を行いたいという要望が必ず出てきます。そんな時、Saptie laravel-permissionパッケージを使えばRole(ロール), Permission(パーミッション)をユーザに付与することでアクセス制限を簡単に実現することができます。
laravel-permissionのインストール
laravel-permissionパッケージのインストールを行います。公式のドキュメントに設定方法が記述されているので、その手順の指示に従って行なっていきます。

composerコマンドを使ってlaravel-permissionパッケージのインストールを行います。
インストール後は/config/app.phpファイルにサービスプロバーダーの登録を行います。

laravel-permissionに必要となるテーブルを作成するためのmigrationファイルの作成とconfigファイルであるpersmission.phpファイルの作成を行います。migrationファイルとpermission.phpファイルを作成するコマンドが準備されているので、下記のコマンドを実行します。
コマンドが完了するとdatabase\migrationsフォルダにcreate_permission_tables.phpという名前のmigrationファイルが作成されます。configディレクトリにpermission.phpファイルが作成されます。
migrationファイルを見ることで作成されるテーブルがどのような構成になっているかを確認することができます。
php artisan migrateコマンドでテーブルの作成を行います。
最後にUserモデルにHasRoles traitを追加します。Userモデルに設定されているTraitはLaravelのバージョンや設定に異なるのでNotificable以外のTraitも設定されている場合があるので他のTraitを誤って削除しないように注意してください。
ここまででインストールと初期設定は完了です。
Permissionを設定する
Permission(パーミッション)を通してユーザが実行する処理に対して許可を与えることができます。例えばブログの記事を作成したユーザのみに更新する権限を与えたい場合は更新を許可するPermissionをユーザに与えることで更新することが可能となります。
作成した記事の更新に関するPermission “edit posts”を作成して、ユーザに”edit post” Permissionを付与してアクセスの制限を行います。

ここではPermission “edit posts”のみ扱いますが、1つのユーザに複数のPermissionを付与することも可能です。
Permissionを作成する
createメソッドを使ってPermission ‘edit posts’を作成します。
作成したPermission “edit posts”をユーザID1を持つユーザに付与します。
Bladeファイルで設定を行う
BladeファイルでPermissionの設定を行う場合は、@canディレクティブを利用します。
@canメソッドに”edit posts”を指定することで、”edit posts”のPermissionを持つユーザのみ更新ボタンが表示され、持たないユーザには更新ボタンが表示されません。
ユーザID1のユーザがアクセスすると更新ボタンが表示。

‘edit posts’パーミッションを持たないユーザID3のユーザがアクセスすると更新ボタンは表示されません。

Contoller(コントロラー)で制御
コントロラーでPermissionを設定したい場合はcanメソッドを利用することでアクセスを制限することができます。”edit posts”を付与されたユーザのみcanメソッドのif文でtrueが戻り、更新画面が表示されます。”edit posts”を付与されていないユーザには別の処理、もしくはメッセージでアクセス権限がないことを伝える必要があります。

middleware(ミドルウェア)で制御
middleware(ミドルウェア)でアクセス制限を行うことができますが、app/Http/Kernel.phpへのミドルウェアの追加が必要になります。
web.phpルーティングファイルでミドルウェアを設定します。下記では”edit posts”のPermissionを持っていないユーザはpostsへアクセスすることができません。

下記のようにgroupメソッドを利用することもできます。
上記ではgetメソッドのみに対してアクセス制限を行っています。
Permissionのメソッド
Permissionには作成、付与、確認などいくつかのメソッドが準備されています。準備されているメソッドについて説明を行っていきます。
Permissionの作成
createメソッドを使ってPermissionを作成することができます。
ユーザへのPermissionの付与方法
ユーザへPermissionを付与する時、1度に1つだけではなく1度に複数付与することができます。
1つのPermissionを付与する場合
複数のPermissionを1度に付与する場合
複数のPermissionを1度に付与する場合(配列利用)
設定されているPermissionを一度削除して、指定してPermissionを設定する場合はsyncPermissionsメソッドを利用します。
付与したPermissionの削除方法
付与したPermissionを削除するためには、revokePermissionToメソッドを利用します。
付与されたPermissionの確認方法
ユーザに付与されているPermissionを確認することができます。戻り値はtrue, falseになります。
Permissionの名前ではなくidで指定することもできます。作成したPermissionの情報は、permissionsテーブルの中に保存されているので、テーブルでidを確認することも可能です。
上記ではid 1が”edit posts”, id 2が”publish posts”です。”edit posts”を付与したい場合は、idで下記のように付与することができます。
指定した複数のPermissionの中からどれか1つでもPermissionを持っているかチェックする場合はhasAnyPermissionメソッドが使えます。指定するPermissionは名前とPermissionのidを混合しても行うことができます。
指定してすべてのPermissionを持っているかチェックをするためには、hasAllPermissionsメソッドが使えます。
Roleの設定について
ここまではPermissionを直接ユーザに付与してアクセス制限を行いました。ここからはRoleにPermissionを付与し、そのRoleをユーザへ付与しアクセス制限を行います。

Roleを作成する
createメソッドを使ってRole “writer”を作成します。
作成したRoleをユーザID2を持つユーザに付与します。
Roleを使ってアクセス制限
Roleの作成とユーザへのRole付与は完了しましたが、RoleへのPermissionの付与は行なっていません。
PermissionがなくてもRoleのみを使ってアクセス制限を行うことができます。
BladeファイルでRoleを使ってアクセス制限を行いたい場合は、@roleディレクティブを使用することができます。
“writer”のRoleを持つユーザのみ更新ボタンが表示され、持たないユーザには更新ボタンは表示されません。@roleと@canとはディレクティブが異なりますが、PermissionとRoleでほぼ同じ方法でアクセス制限を行うことができます。
RoleにPermissionを付与
Roleのみを使用しても@roleディレクティブを利用すればアクセス制限が行えることがわかりましたが、より柔軟にアクセス制限を行うためにRoleにPermissionを付与してアクセス制限を行います。
新たに”editor”というRoleを作成します。
“editor”のRoleを作成したことでシステムには、”writer”と”editor”の2つのロールが存在します。”writer”には、”create posts”, “edit posts”の2つのPermission、editorには”edit posts”のみPermissionを付与します。

- writer ・・・”create posts”, “edit posts”
- editor・・・”edit posts”
“create posts”はブログの記事を作成する許可、”edit posts”は作成されている記事を更新する許可を与えるPermissionです。
データベース内に作成されているpermissionsテーブルとrolesテーブルを使ってそれぞれに割り当てられているidを確認します。

permissionsテーブルには、id 1に”edit posts”, id 2に”create posts”が登録されています。
rolesテーブルには、id 1にwriter, id 2にeditorが登録されています。
givePermissionToメソッドを使用してRoleにPermissionを付与します。
Roleをユーザに付与
設定したRoleはユーザに付与します。ユーザへの付与は、assignRoleメソッドを利用します。ユーザID1を持つユーザに”editor”のRole、ユーザID2を持つユーザに”writer”のRoleを付与します。

RoleのPermissionを利用してアクセス制限
Roleに付与したPermissionを使ってアクセスの制限を行います。
“create posts”のPermissionを持っていれば、ブログの記事作成ボタンが表示されるように@canディレクティブを使用して設定を行います。
“edit posts”のPermissionを持っていれば、更新ボタンが表示されるように@canディレクティブを使用して設定を行います。
“writer” Roleを持っているユーザでアクセスすると作成ボタンも更新ボタンも表示されます。”writer” Roleは”create posts”と”edit posts”のPermissionを持っています。

“editor”Roleを持っているユーザでアクセスすると更新ボタンのみ表示されます。”editor”Roleは”edit posts”のPermissionを持っています。
“create posts”のPermissionを持っていないため、ブログ記事作成ボタンが表示されません。

どちらのRoleも持っていないユーザは、作成ボタンも更新ボタンも表示されません。

このようにRoleに付与されているPermissionによってアクセス制限ができることが確認できました。
コントローラーやmiddlewareでのアクセス制限はPermissionで行った設定によって行うことができます。
Roleの役割
複数のRole、Permissionを設定していくと下記のように段々と複雑になってきます。

もしRoleがなければPermissionをユーザに付与しなければいけないため、下記のようになります。

ここに1名のユーザが新しく登録された場合を考えましょう。そのユーザにB, C, DのPermissionを渡したい場合は、Roleがあれば、YのRoleを付与することでユーザにB, C, DのPermissionを付与することができます。Roleがなければ、B, C, DのPermission設定が必要になり、複雑化することがわかります。


RoleがあることでPermissionの管理が楽になることがわかります。
Roleのメソッド
RoleにもPermissionと同様に作成、付与、確認などいくつかのメソッドが準備されています。どのメソッドも使用する可能性があるため下記で説明を行なっています。
Roleの作成
createメソッドを使ってRoleを作成することができます。
RoleへのPermissionの付与、削除、確認方法
RoleにPermissionを付与するためには、givePermissionToメソッドを使用します。
Roleに付与したPermissonを削除する場合は、revokePermissionToメソッドを利用します。
Roleに付与されているPermissionを確認したい場合は、hasPermissionToメソッドを利用します。
ユーザへのRoleの付与、削除、確認方法
ユーザにRoleを付与する場合は下記のように一度に複数のRoleを付与することができます。付与はassignRoleメソッドを利用します。
付与したRoleを削除するのは、removeRoleメソッドを利用します。
syncRolesメソッドを利用すれば現在設定されるRoleを一度削除し、指定したRoleを付与することができます。
ユーザがRoleを付与されているか確認する時は、hasRoleメソッドを利用します。
指定した複数のRoleの中からどれか1つ付与されているかチェックする場合は、hasAnyRoleメソッドが使えます。また指定したすべてのRoleが付与されているか確認する時は、hasAllRolesメソッドを利用します。
permissionには直接ユーザに付与する方法とRoleを経由してユーザに付与する方法があることを説明しました。どちらの方法で付与するか確認することも可能です。直接の場合は、getDirectPermissionsメソッド、Role経由の場合は、getPermissionsViaRolesメソッドを利用します。両方を一括で確認したい場合は、getAllPermissionsメソッドを利用します。