Laravel は、非常に強(qiáng)力な権限管理および認(rèn)証機(jī)能を備えた最新の PHP フレームワークです。ただし、適切なセキュリティ戦略が採(cǎi)用されていない場(chǎng)合、権限管理の悪用やバイパスなどのセキュリティの問(wèn)題が依然として殘ります。この記事では、Laravel の権限関數(shù)を使用する際のセキュリティ戦略をいくつか紹介し、具體的なコード例を示します。

1. 権限管理の亂用

権限管理の亂用とは、人事部門の従業(yè)員に操作を許可したり、財(cái)務(wù)部門から請(qǐng)求書(shū)を削除したりするなど、許可されたユーザーの権限を過(guò)度に使用することを指します。部門などこのような悪用は、機(jī)密情報(bào)の漏洩、データの損失、その他の悪影響につながる可能性があります。この狀況を防ぐために、Laravel に 2 つのセキュリティ ポリシーを追加できます。

1. 権限承認(rèn)システム

権限承認(rèn)システムでは、管理者は承認(rèn)後に機(jī)密データのみを操作できるなど、ユーザー権限の使用を制限できます。この戦略を?qū)g裝するコード例は次のとおりです。

public function update(Request $request, $id)
{
    $user = User::find($id);

    if (!$user->hasPermission('edit_user')) {
        abort(403, '你沒(méi)有權(quán)限修改用戶信息。');
    }

    // 判斷該用戶是否需要審批
    if ($user->needApproval()) {
        // 如果需要審批，則需要審批人進(jìn)行審核通過(guò)后才能修改用戶
        $approver = $user->approver;

        if (!$approver->hasPermission('approve_user')) {
            abort(403, '你沒(méi)有權(quán)限審批用戶信息修改請(qǐng)求。');
        }

        $user->name = $request->name;
        $user->email = $request->email;
        $user->save();

        return redirect()->route('users.show', $user->id)->with('success', '用戶信息修改成功！');
    }

    // 如果不需要審批，則直接修改用戶
    $user->name = $request->name;
    $user->email = $request->email;
    $user->save();

    return redirect()->route('users.show', $user->id)->with('success', '用戶信息修改成功！');
}

上記のコードでは、2 つのメソッド hasPermission() と needApproval() を使用して、ユーザーが変更権限を持っているかどうか、および承認(rèn)が必要かどうか。承認(rèn)が必要な場(chǎng)合は、承認(rèn)者に承認(rèn)権限があるか確認(rèn)してください。上記の條件を満たしている場(chǎng)合、ユーザー情報(bào)を変更することができます。

2. 頻度制限

頻度制限により、悪意のあるユーザーがログインや登録などの特定の操作を短期間に繰り返し実行することを防ぐことができます。これにより、攻撃者が総當(dāng)たりツールを使用してパスワードを解読したり、偽のアカウントを大量に作成したりすることが防止されます。 Laravel は ThrottleRequests ミドルウェアを提供します。次のコードを appHttpKernel.php ファイルに追加できます。

protected $middlewareGroups = [
    'web' => [
        AppHttpMiddlewareEncryptCookies::class,
        IlluminateCookieMiddlewareAddQueuedCookiesToResponse::class,
        IlluminateSessionMiddlewareStartSession::class,
        // 加入ThrottleRequests中間件
        IlluminateRoutingMiddlewareThrottleRequests::class,
        IlluminateContractsAuthMiddlewareAuthenticate::class,
        IlluminateRoutingMiddlewareSubstituteBindings::class,
    ],

    'api' => [
        'throttle:60,1',
        'auth:api',
    ],
];

上記のコードでは、 'throttle:60 、 1' は、1 分あたり最大 60 回の実行が許可されることを意味します。ユーザーが短期間にアクションを複數(shù)回実行しようとすると、HTTP 429 エラーが返されます。

2. 権限管理バイパス

権限管理バイパスとは、権限のないユーザーまたは攻撃者が脆弱性を利用してシステムを制御することを意味します。これにより、システムの不安定性、データ漏洩、その他の問(wèn)題が発生する可能性があります。権限管理のバイパスを防ぐために、次の 2 つのセキュリティ ポリシーを Laravel に追加できます。

1. データ フィルタリング

Laravel では、モデル內(nèi)にデータ フィルタを定義してクエリ結(jié)果を制限できます。データ フィルタリングを使用すると、攻撃者が URL に SQL コードを挿入したり、不正なデータを取得したりすることを防ぐことができます。次のコード例は、データ フィルターの使用方法を示しています。

class MyModel extends Model
{
    // 只查詢被授權(quán)的數(shù)據(jù)
    public function scopeAuthorized($query)
    {
        // 獲取當(dāng)前用戶的權(quán)限數(shù)組
        $permissions = auth()->user()->permissions->pluck('name')->toArray();

        // 過(guò)濾只保留當(dāng)前用戶有權(quán)限的數(shù)據(jù)
        return $query->whereIn('permission', $permissions);
    }
}

上記のコードでは、scopeAuthorized() メソッドは whereIn() メソッドを使用して、未承認(rèn)のデータのクエリを回避します。 pluck() メソッドは IlluminateSupportCollection インスタンスを返します。このインスタンスは、toArray() メソッドを通じて PHP 配列に変換されます。

2. リクエスターに認(rèn)証を強(qiáng)制する

ミドルウェア auth を使用して、リクエスターに認(rèn)証を強(qiáng)制します。コントローラーでは、auth ミドルウェアを次のように使用できます。

public function __construct()
{
    $this->middleware('auth');
}

リクエスターが認(rèn)証されていない場(chǎng)合、リクエストは拒否されます。 Laravel は認(rèn)証関連の詳細(xì)をすべて直接処理するため、他のソリューションを使用するときに記述する必要がある多くのコードを節(jié)約できます。

概要

Laravel では、権限管理と認(rèn)証機(jī)能が非常に強(qiáng)力です。ただし、悪意のあるユーザーやハッカーに直面する場(chǎng)合には、依然としていくつかのセキュリティ戦略を採(cǎi)用する必要があります。この記事では、長(zhǎng)い間実証されてきたセキュリティ戦略を、具體的なコード例とともにいくつか紹介します。この記事がLaravelのセキュリティ向上に役立つことを願(yuàn)っています。

以上がLaravel 権限機(jī)能のセキュリティ戦略: 権限の亂用とバイパスを防ぐ方法の詳細(xì)內(nèi)容です。詳細(xì)については、PHP 中國(guó)語(yǔ) Web サイトの他の関連記事を參照してください。