リモート開発メインのソフトウェア開発企業のエンジニアブログです

もばらぶ

もばらぶエンジニアブログ

Home採用情報English

Laravel で remember_token を使わない方法

December 09, 2024 - posted by issei_m

目次

これだと困るケース
解決方法
なぜこれで解決するのか
修正の妥当性
余談: getRememberToken や $rememberTokenName をオーバーライドしていない理由
getRememberToken をオーバーライドしない理由
$rememberTokenName をオーバーライドしない理由
おわりに

最近少し Laravel を使う機会が増えたので小ネタ (タイトルの件) を書きます。検証に使った Laravel のバージョンは 11.x ですが 5.3.27 以降で使えると思われます。

公式ドキュメント Database Considerations – Authentication によると Eloquent model (プロジェクト初期化時は App\Models\User として作られる) をユーザーとしたデフォルトの認証機構を使う場合、当該モデルのテーブルには100文字以上の文字列型である remember_token と言うカラムの存在が必要と書かれています。試しにこのカラムを欠いた状態で認証を実装すると、ログアウト時にエラーが発生します:

public function logout(Request $request): RedirectResponse
{
    Auth::logout(); // ここでエラー

    // 以下略    
}

そのまま、App\Models\User に remember_token と言う属性 (カラム) が無いと言う旨のエラーです。余談ですがローカル環境などで Model::preventAccessingMissingAttributes(); が設定されていないとこのエラーは発生しない場合がありますが、本番環境などでは発生するでしょう。

ちなみにログイン時 (Auth::attempt; 第2引数の $remember が false である限り) には問題ありません。ログアウトの時にのみ発生する様です。

これだと困るケース

新規プロジェクトなら (Remember Me 機構を使おうが使わまいが) 普通にマイグレーションでこのカラムが入るので問題にはなりませんが、既存のプロジェクトでデータベースのデータ移行なしにフレームワークを Laravel に移行したい場合に問題が生じます。今回直面したのはまさにこれでした。

Moba Pro

解決方法

User で getRememberTokenName をオーバーライドし、空文字列を返す様にします:

public function getRememberTokenName()
{
    return ''; // Remember Me は使わない
}

なぜこれで解決するのか

この問いに答える為に、そもそもなぜエラーが発生するのかを確認します。Auth::logout() では通常内部では \Illuminate\Auth\SessionGuard の logout が実行されます。その内部を見てみると、以下の処理が存在します:

// https://github.com/laravel/framework/blob/7db7ea950d3df663391718730f4490a4e189234a/src/Illuminate/Auth/SessionGuard.php#L606-L608

if (! is_null($this->user) && ! empty($user->getRememberToken())) {
    $this->cycleRememberToken($user);
}

要はログアウトしたユーザーが Remember トークンを持つ場合、そのトークンをリフレッシュしようと言う内容です。そして見ての通り $user->getRememberToken() の部分で remember_token カラムの参照が行われる為、存在しない場合は先のエラーが発生する訳です。

では本題に戻ってなぜあのオーバーライドで解決するのでしょうか?それは User が継承している \Illuminate\Auth\Authenticatable trait の実装を見てみると分かります。getRememberToken はここに実装されています:

// https://github.com/laravel/framework/blob/7db7ea950d3df663391718730f4490a4e189234a/src/Illuminate/Auth/Authenticatable.php#L76-L81

protected $rememberTokenName = 'remember_token';

public function getRememberTokenName()
{
    return $this->rememberTokenName;
}

public function getRememberToken()
{
    if (! empty($this->getRememberTokenName())) {
        return (string) $this->{$this->getRememberTokenName()};
    }
}

getRememberTokenName が empty なら getRememberToken は属性 (カラム) の参照をする事なく null を返す訳です。また先の SessionGuard を見返すと $user->getRememberToken() が empty ならトークンのリフレッシュは行われないので更新形でエラーが発生する心配もありません。

修正の妥当性

getRememberToken の挙動ですが、最初からそうだった訳ではなくこの PR によって変更された様です。さらに元となった Issue を見ると、当時 Laravel の認証機構で SessionGuard だけが “remember_token” の有無をチェックしていないと言う指摘もありました。それ以上は調べていませんが、結局現在 SessionGuard はログイン時も含めてトークンの有無を確認していて一貫性があり妥当と判断しました。ただし Laravel Contracts の interface 上ではその事に言及がない為、長い間この振る舞いが保証される訳ではない点に留意が必要です。(と言うより現状の Illuminate\Auth\Authenticatable が既に Contracts interface と宣言上のシグネチャが異なる)

余談: getRememberToken や $rememberTokenName をオーバーライドしていない理由

先ほどの Authenticatable の実装を見ると getRememberTokenName ではなくこの2つの方法でも同じ事ができるのですが、今回は getRememberTokenName を使った理由を余談まで。

getRememberToken をオーバーライドしない理由

Authenticatable には setRememberToken と言うメソッドがあり、これも getRememberToken 同様 getRememberTokenName のチェックをしている為です:

public function setRememberToken($value)
{
    if (! empty($this->getRememberTokenName())) {
        $this->{$this->getRememberTokenName()} = $value;
    }
}

SessionGurad の実装的には getRememberToken が空欄ならこのメソッドも呼ばれるケースは無さそうなのですが念の為。

$rememberTokenName をオーバーライドしない理由

であれば、 getRememberTokenName の実態である $rememberTokenName をオーバーライドしてもいいのでは? (行数も少なくなる; なんなら先述の PR ではその手法を掲示している) と思われるかもしれません。これに関してはその通りではあるのですが Laravel の様にクラスのプロパティに型をついていない場合、オーバーライド時に異なる型を付けてもエラーが発生しない為です。つまり以下はいずれも (クラス定義時に) エラーになりません:

protected $rememberTokenName = true;

protected $rememberTokenName = null;

protected $rememberTokenName = 123;

また PHPStan でもこの問題を検出できない為、(繰り返しますが Laravel の様にプロパティに型をつけていない場合は) なるべくプロパティのオーバーライドは使わないようにしています。(実は PHPStan でできます!と言う場合あとでこっそり教えてください)

反対にメソッドであれば例え返り値のタイプヒントが付いていなくても PHPStan が (level 3以上であれば) エラーを検出する事ができます:

public function getRememberTokenName()
{
    return null; // 親クラスは PHPDoc で `@return string` を付けているので PHPStan が "Method App\Models\User::getRememberTokenName() should return string but returns null." と言うエラーを出力する 
}

おわりに

今回は Laravel の認証ユーザー (Eloquent) でテーブルのカラムに “remember_token” が無くても動作する方法を経緯とかを含めて調査しました。このテクニック自体はネットで検索するとたくさん出てくるのですが内部のコードや経緯などについて言及されていない事が多かったので改めて自分で調べてみました。ところで Laravel はいつになったらタイプヒントをするのでしょうか。

December 09, 2024 - posted by issei_m

← 前の投稿

Google Apps Script (GAS)でスプレッドシートをGETする

次の投稿 →

Laravel Sail 初期化時に使用する PHP のバージョンを指定する

コメントを残す

最近の投稿

タグ

aws (36)
docker (18)
python (15)
lambda (13)
scala (13)
laravel (9)
機械学習 (9)
flutter (8)
ruby-on-rails (8)
security (8)
typescript (8)
php (7)
rails (7)
s3 (7)
serverless (7)
spark (7)
windows (7)
ai (6)
dart (6)
go (6)
java (6)
javascript (6)
ansible (5)
aws-cli (5)
node-js (5)
ruby (5)
terraform (5)
生成-ai (5)
自然言語処理 (5)
api (4)
bert (4)
chatgpt (4)
docker-compose (4)
firebase (4)
git (4)
github (4)
iam (4)
mod_wsgi (4)
raspberry-pi (4)
react (4)
wordpress (4)
centos (3)
cli (3)
cloudfront (3)
ec2 (3)
kinesis (3)
kubernetes (3)
rag (3)
react-native (3)
scraping (3)
vagrant (3)
物理シミュレーション (3)
開発環境 (3)
activerecord (2)
amazon-workspaces (2)
apache-arrow (2)
api-gateway (2)
aws-deep-learning-ami (2)
azure (2)
bug (2)
claude-code (2)
cloudformation (2)
collection (2)
container (2)
database (2)
debug (2)
eks (2)
elasticsearch (2)
eventbridge (2)
flask (2)
google-apps-script (2)
jest (2)
jmeter (2)
k8s (2)
langchain (2)
linux (2)
machine-learning (2)
macos (2)
mfa (2)
networking (2)
nextcloud (2)
nlp (2)
opencv (2)
opensearch (2)
openssl (2)
option (2)
phpunit (2)
postgresql (2)
rds (2)
realtimedatabase (2)
slack (2)
sql (2)
ssh (2)
switchbot (2)
testing (2)
ubuntu (2)
virtualbox (2)
vue-js (2)
vuetify (2)
waf (2)
webpack (2)
workaround (2)
勉強会 (2)
自宅サーバー (2)

アーカイブ