Laravelセッションの基礎知識
セッション管理の重要性と基本概念
Webアプリケーション開発において、セッション管理は非常に重要な役割を果たします。HTTPは基本的にステートレスなプロトコルですが、現代のWebアプリケーションでは、ユーザーの状態を追跡し、ページ間でデータを保持する必要があります。ここでは、Laravelにおけるセッション管理の基本的な概念と重要性について解説します。
セッション管理の重要性
- ユーザー状態の保持
- ログイン状態の維持
- ショッピングカートの内容保存
- ユーザー設定の一時保存
- セキュリティの確保
- クロスサイトリクエストフォージェリ(CSRF)からの保護
- セッションハイジャック対策
- 認証情報の安全な管理
セッションの基本的な仕組み
セッションは以下のような流れで動作します:
- ユーザーが初めてアプリケーションにアクセス
- サーバーがセッションIDを生成
- セッションIDをクライアントに送信(通常はクッキーとして)
- 以降のリクエストでセッションIDを使用してユーザーを識別
Laravelが提供するセッション機能の特徴
Laravelは、堅牢で使いやすいセッション管理機能を提供しています。以下に主な特徴を説明します。
1. 複数のストレージドライバー対応
// config/session.php での設定例
return [
'driver' => env('SESSION_DRIVER', 'file'),
// 利用可能なドライバー:
// - file: ファイルシステム
// - database: データベース
// - redis: Redisサーバー
// - memcached: Memcachedサーバー
// - array: テスト用
];
2. 簡潔な操作インターフェース
// セッションへのデータ保存
Session::put('key', 'value');
// セッションからのデータ取得
$value = Session::get('key');
// セッションからのデータ取得(デフォルト値付き)
$value = Session::get('key', 'default');
// 配列形式でのデータ保存
Session::put([
'key1' => 'value1',
'key2' => 'value2'
]);
3. 便利なヘルパー機能
// セッションへの一時データ保存(次回のリクエストまで)
Session::flash('status', '更新が完了しました');
// セッションデータの存在確認
if (Session::has('user_id')) {
// 処理
}
// セッションデータの削除
Session::forget('key');
// 全セッションデータの削除
Session::flush();
4. グローバルヘルパー関数のサポート
// セッション取得(グローバルヘルパー使用)
$value = session('key');
// デフォルト値付きでセッション取得
$value = session('key', 'default');
// セッションへの値の保存
session(['key' => 'value']);
5. セッションの有効期限管理
// config/session.php での設定例
return [
'lifetime' => env('SESSION_LIFETIME', 120), // 分単位
'expire_on_close' => false, // ブラウザを閉じた時に期限切れにするか
];
このように、Laravelのセッション機能は、開発者が簡単に使えるよう設計されていながら、高度なカスタマイズも可能な柔軟性を備えています。基本的な操作から高度な使用方法まで、体系的に整理された APIを通じて、セキュアでスケーラブルなアプリケーション開発をサポートします。
セッションの設定と初期化
設定ファイルの詳細な解説
Laravelのセッション設定は、config/session.php ファイルで管理されます。この設定ファイルには、セッションの動作に関する重要なパラメータが含まれています。
主要な設定項目
return [
// セッションドライバーの指定
'driver' => env('SESSION_DRIVER', 'file'),
// セッションライフタイム(分)
'lifetime' => env('SESSION_LIFETIME', 120),
// セッションクッキー名
'cookie' => env('SESSION_COOKIE', 'laravel_session'),
// セッションクッキーのパス
'path' => '/',
// セッションクッキーのドメイン
'domain' => env('SESSION_DOMAIN', null),
// HTTPSのみでセッションを使用
'secure' => env('SESSION_SECURE_COOKIE', false),
// JavaScriptからのアクセスを防ぐ
'http_only' => true,
// 同一サイトポリシー(CSRF対策)
'same_site' => 'lax',
];
重要な設定項目の詳細解説
- セッションドライバー(driver)
- file: ファイルシステムにセッションを保存
- redis: Redisデータストアを使用
- database: リレーショナルデータベースを使用
- memcached: Memcachedサーバーを使用
- array: テスト用(セッションはリクエスト間で維持されない)
- セッションライフタイム(lifetime)
- セッションの有効期限を分単位で指定
- 0を指定すると、ブラウザを閉じるまでセッションを維持
- セキュリティ関連の設定
- secure: HTTPSでの通信時のみセッションを使用
- http_only: JavaScriptからのセッションアクセスを防止
- same_site: クロスサイトリクエストへの対応方針を設定
セッションドライバーの選択とベストプラクティス
ドライバー別の特徴と選択基準
| ドライバー | 特徴 | 適している用途 | 注意点 |
|---|---|---|---|
| file | – シンプル – 設定が容易 – 追加依存なし | 小〜中規模アプリケーション | ディスクI/Oが発生 |
| redis | – 高速 – スケーラブル – 分散環境対応 | 大規模アプリケーション | Redisサーバーが必要 |
| database | – SQLデータベースを使用 – 管理が容易 | データベース中心のアプリ | クエリオーバーヘッド |
| memcached | – 超高速 – 軽量 | 高トラフィックサイト | データ永続性なし |
ドライバー設定のベストプラクティス
- ファイルドライバーの設定
// storage/framework/sessions ディレクトリのパーミッション設定
chmod 755 storage/framework/sessions
// セッションガベージコレクションの設定
'files' => [
'path' => storage_path('framework/sessions'),
'gc_probability' => 2,
'gc_divisor' => 100,
],
- Redisドライバーの設定
// .env ファイルでの設定
SESSION_DRIVER=redis
REDIS_HOST=127.0.0.1
REDIS_PASSWORD=null
REDIS_PORT=6379
// Redis接続設定(config/database.php)
'redis' => [
'client' => env('REDIS_CLIENT', 'phpredis'),
'session' => [
'host' => env('REDIS_HOST', '127.0.0.1'),
'password' => env('REDIS_PASSWORD', null),
'port' => env('REDIS_PORT', 6379),
'database' => 1, // セッション専用のデータベース
],
],
- データベースドライバーの設定
// セッションテーブルの作成 php artisan session:table php artisan migrate // カスタムテーブル設定 'table' => 'sessions', 'connection' => null, // nullの場合、デフォルト接続を使用
運用環境別のおすすめ設定
- 開発環境
'driver' => 'file', 'lifetime' => 120, 'expire_on_close' => true, 'secure' => false,
- 本番環境
'driver' => 'redis', 'lifetime' => 60, 'expire_on_close' => false, 'secure' => true, 'same_site' => 'strict',
- テスト環境
'driver' => 'array', 'lifetime' => 120, 'expire_on_close' => false,
これらの設定を適切に行うことで、アプリケーションの要件に合った安全で効率的なセッション管理が実現できます。環境や規模に応じて最適な設定を選択し、必要に応じて調整を行うことが重要です。
セッションデータの操作方法
データの保存と取得の基本テクニック
Laravelのセッション操作は、シンプルながら強力な機能を提供します。基本的なデータの保存と取得から、より高度な使用方法まで、実践的な例を交えて解説します。
基本的なデータ操作
- データの保存
// 単一の値を保存
Session::put('user_id', 1);
// 複数の値を一度に保存
Session::put([
'user_id' => 1,
'user_name' => 'John Doe',
'preferences' => ['theme' => 'dark']
]);
// グローバルヘルパーを使用した保存
session(['cart_items' => $items]);
- データの取得
// 単一の値を取得
$userId = Session::get('user_id');
// デフォルト値を指定して取得
$theme = Session::get('theme', 'light');
// クロージャをデフォルト値として使用
$user = Session::get('user', function() {
return User::getDefaultUser();
});
// グローバルヘルパーを使用した取得
$cartItems = session('cart_items', []);
- データの確認と削除
// データの存在確認
if (Session::has('user_id')) {
// 処理
}
// データが存在し、かつnullでないことを確認
if (Session::exists('user_id')) {
// 処理
}
// 特定のデータを削除
Session::forget('user_id');
// 全データを削除
Session::flush();
一時データの操作
// 次回のリクエストまで値を保持
Session::flash('status', '更新が完了しました');
// 一時データを維持
Session::reflash();
// 特定の一時データのみ維持
Session::keep(['status', 'error']);
複雑なデータ構造の効率的な管理方法
配列データの操作
- 配列要素の追加と更新
// 配列への要素追加
Session::push('user.roles', 'admin');
// 配列要素の更新
$roles = Session::get('user.roles', []);
$roles[] = 'editor';
Session::put('user.roles', $roles);
// ドット記法を使用した深いネストの操作
Session::put('user.preferences.notifications.email', true);
- 配列データの取得と操作
// 配列の特定要素を取得
$role = Session::get('user.roles.0');
// 配列全体を取得して操作
$roles = Session::get('user.roles', []);
$roles = array_filter($roles, function($role) {
return $role !== 'guest';
});
Session::put('user.roles', $roles);
オブジェクトデータの管理
// オブジェクトの保存
$user = User::find(1);
Session::put('current_user', $user);
// オブジェクトのシリアライズ化を考慮した保存
Session::put('current_user', $user->toArray());
セッションデータのバッチ処理
// 複数の操作をまとめて実行
Session::batch(function($session) {
$session->put('last_action', 'login');
$session->push('login_history', [
'time' => now(),
'ip' => request()->ip()
]);
$session->forget('temporary_data');
});
効率的なデータ構造の例
- ショッピングカートの管理
// カートアイテムの追加
public function addToCart($productId, $quantity = 1)
{
$cart = Session::get('cart', []);
if (isset($cart[$productId])) {
$cart[$productId]['quantity'] += $quantity;
} else {
$cart[$productId] = [
'quantity' => $quantity,
'added_at' => now()
];
}
Session::put('cart', $cart);
}
// カート合計の計算
public function getCartTotal()
{
$cart = Session::get('cart', []);
$total = 0;
foreach ($cart as $productId => $item) {
$product = Product::find($productId);
$total += $product->price * $item['quantity'];
}
return $total;
}
- ユーザー設定の管理
// 階層化された設定データの管理
public function updateUserPreferences($preferences)
{
$currentPreferences = Session::get('user.preferences', [
'notifications' => [
'email' => true,
'push' => true
],
'theme' => 'light',
'language' => 'ja'
]);
$updatedPreferences = array_merge($currentPreferences, $preferences);
Session::put('user.preferences', $updatedPreferences);
}
これらのテクニックを活用することで、複雑なデータ構造も効率的に管理できます。セッションデータの構造化と操作方法を適切に選択することで、メンテナンス性の高いコードを実現できます。
セッションのセキュリティ対策
クロスリクエストフォージェリ対策
クロスサイトリクエストフォージェリ(CSRF)は、Webアプリケーションに対する重大な脅威の一つです。Laravelは強力なCSRF対策機能を提供していますが、適切な実装と理解が必要です。
CSRF保護の基本設定
// app/Http/Kernel.php
protected $middlewareGroups = [
'web' => [
\App\Http\Middleware\VerifyCsrfToken::class,
// 他のミドルウェア
],
];
CSRFトークンの実装
- フォームでのCSRFトークン使用
<form method="POST" action="/profile">
@csrf
<!-- フォームフィールド -->
</form>
// または手動でトークンを追加
<form method="POST" action="/profile">
<input type="hidden" name="_token" value="{{ csrf_token() }}">
</form>
- JavaScriptでのCSRFトークン設定
// Axiosのデフォルトヘッダーにトークンを設定
axios.defaults.headers.common['X-CSRF-TOKEN'] = document.querySelector('meta[name="csrf-token"]').content;
// または jQuery を使用する場合
$.ajaxSetup({
headers: {
'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
}
});
CSRF保護の例外設定
// app/Http/Middleware/VerifyCsrfToken.php
protected $except = [
'stripe/*', // Stripe Webhooks
'paypal/*', // PayPal Webhooks
'api/*' // API エンドポイント
];
セッションハイジャック防止の対策
セッションハイジャックは、攻撃者が正当なユーザーのセッションを盗用する攻撃です。以下の対策を実装することで、リスクを大幅に軽減できます。
1. セッション設定の強化
// config/session.php
return [
// セッションの暗号化
'encrypt' => true,
// セキュアクッキーの使用(HTTPS only)
'secure' => env('SESSION_SECURE_COOKIE', true),
// HttpOnly属性の設定
'http_only' => true,
// Same-Site属性の設定
'same_site' => 'lax',
];
2. セッション再生成の実装
// ユーザーログイン時のセッション再生成
public function login(Request $request)
{
Auth::login($user);
$request->session()->regenerate();
return redirect()->intended('dashboard');
}
// ログアウト時のセッション無効化
public function logout(Request $request)
{
Auth::logout();
$request->session()->invalidate();
$request->session()->regenerateToken();
return redirect('/');
}
3. IP追跡によるセッション保護
// セッションガードミドルウェアの実装
class SessionGuard
{
public function handle($request, Closure $next)
{
if ($request->session()->has('user_ip')) {
$sessionIp = $request->session()->get('user_ip');
if ($sessionIp !== $request->ip()) {
// IPアドレスが変更された場合、セッションを無効化
$request->session()->invalidate();
return redirect()->route('login')
->with('error', 'セッションが無効になりました。再度ログインしてください。');
}
} else {
// 初回アクセス時にIPアドレスを記録
$request->session()->put('user_ip', $request->ip());
}
return $next($request);
}
}
4. セッションタイムアウトの実装
// セッションタイムアウトミドルウェアの実装
class SessionTimeout
{
public function handle($request, Closure $next)
{
if ($request->session()->has('last_activity')) {
$lastActivity = $request->session()->get('last_activity');
// 30分以上経過している場合はセッションを無効化
if (time() - $lastActivity > 1800) {
$request->session()->flush();
return redirect()->route('login')
->with('error', 'セッションがタイムアウトしました。');
}
}
$request->session()->put('last_activity', time());
return $next($request);
}
}
5. セッション固定攻撃対策
// 権限変更時のセッション再生成
public function elevatePrivileges(Request $request)
{
// 権限昇格の処理
$user->grantAdminAccess();
// セッションを再生成して古いセッションを無効化
$request->session()->regenerate(true);
return redirect()->route('admin.dashboard');
}
セキュリティチェックリストの実装例
class SecurityCheck
{
public static function performSecurityChecks()
{
return [
'session_encrypted' => config('session.encrypt'),
'secure_cookie' => config('session.secure'),
'http_only' => config('session.http_only'),
'same_site' => config('session.same_site') !== null,
'csrf_protection' => in_array(\App\Http\Middleware\VerifyCsrfToken::class,
app(\Illuminate\Contracts\Http\Kernel::class)->getMiddlewareGroups()['web']),
];
}
}
これらのセキュリティ対策を適切に実装することで、セッションに関する主要な脅威からアプリケーションを保護できます。ただし、セキュリティは継続的なプロセスであり、定期的な見直しと更新が必要です。
セッションのパフォーマンス最適化
セッションストレージの正しい選択方法
セッションストレージの選択は、アプリケーションのパフォーマンスに大きな影響を与えます。以下では、各ストレージオプションの特徴と選択基準を詳しく解説します。
ストレージオプションの比較
| ストレージ | 読み取り速度 | 書き込み速度 | スケーラビリティ | メモリ使用量 | 永続性 |
|---|---|---|---|---|---|
| Redis | ◎ | ◎ | ◎ | ○ | ○ |
| Memcached | ◎ | ◎ | ○ | ◎ | × |
| Database | △ | △ | ○ | ◎ | ◎ |
| File | ○ | △ | × | ◎ | ◎ |
最適なストレージの選択基準
// config/session.php
return [
'driver' => env('SESSION_DRIVER', 'redis'), // 推奨設定
// Redisセッション設定の最適化
'connection' => 'session', // セッション専用のRedis接続
'lottery' => [2, 100], // ガベージコレクション確率
];
// config/database.php
'redis' => [
'session' => [
'host' => env('REDIS_HOST', '127.0.0.1'),
'password' => env('REDIS_PASSWORD', null),
'port' => env('REDIS_PORT', 6379),
'database' => 1, // セッション専用DB
'read_write_timeout' => 60,
],
],
パフォーマンスモニタリングの実装
// セッションパフォーマンスモニタリングミドルウェア
class SessionPerformanceMonitor
{
public function handle($request, Closure $next)
{
$startTime = microtime(true);
$response = $next($request);
$endTime = microtime(true);
$executionTime = ($endTime - $startTime) * 1000;
Log::channel('performance')->info('Session operation time', [
'execution_time' => $executionTime,
'session_size' => strlen(serialize($request->session()->all())),
'driver' => config('session.driver')
]);
return $response;
}
}
大規模アプリケーションでの効率的な運用方法
1. セッションデータの最適化
class SessionOptimizer
{
public static function optimizeSessionData(array $data)
{
// 大きなデータの圧縮
foreach ($data as $key => $value) {
if (strlen(serialize($value)) > 1024) {
$data[$key] = gzcompress(serialize($value));
}
}
return $data;
}
public static function decompressSessionData(array $data)
{
// 圧縮データの展開
foreach ($data as $key => $value) {
if (self::isCompressed($value)) {
$data[$key] = unserialize(gzuncompress($value));
}
}
return $data;
}
}
2. セッションクラスタリングの実装
// config/session.php
'redis' => [
'cluster' => true,
'options' => [
'cluster' => env('REDIS_CLUSTER', 'redis'),
'prefix' => env('REDIS_PREFIX', 'laravel_session:'),
'replicate' => 'no',
],
],
3. キャッシュ層の追加
class CachedSessionHandler implements SessionHandlerInterface
{
protected $handler;
protected $cache;
public function __construct(SessionHandlerInterface $handler)
{
$this->handler = $handler;
$this->cache = Cache::store('array');
}
public function read($sessionId)
{
return $this->cache->remember("session:{$sessionId}", 5, function () use ($sessionId) {
return $this->handler->read($sessionId);
});
}
// 他のメソッドの実装...
}
4. 負荷分散設定
// セッションスティッキネスの設定例(Nginx)
upstream backend {
ip_hash; # セッションスティッキネスの有効化
server backend1.example.com:80;
server backend2.example.com:80;
}
パフォーマンス最適化のベストプラクティス
- セッションデータの最小化
// セッションデータのクリーンアップ
public function cleanupSession(Request $request)
{
$essentialKeys = ['user_id', 'cart', 'preferences'];
$currentData = $request->session()->all();
foreach ($currentData as $key => $value) {
if (!in_array($key, $essentialKeys)) {
$request->session()->forget($key);
}
}
}
- 定期的なガベージコレクション
// アーティザンコマンドでのセッションクリーンアップ
public function handle()
{
$this->info('セッションクリーンアップを開始します...');
$driver = config('session.driver');
$lifetime = config('session.lifetime');
switch ($driver) {
case 'redis':
$this->cleanupRedisSession($lifetime);
break;
case 'database':
$this->cleanupDatabaseSession($lifetime);
break;
}
$this->info('セッションクリーンアップが完了しました。');
}
- セッションサイズのモニタリング
// セッションサイズ監視の実装
public function checkSessionSize()
{
$size = strlen(serialize(session()->all()));
if ($size > 4096) { // 4KB超過をアラート
Log::warning('Large session detected', [
'size' => $size,
'user_id' => Auth::id()
]);
}
return $size;
}
これらの最適化手法を適切に組み合わせることで、大規模アプリケーションでも効率的なセッション管理を実現できます。ただし、最適化は必ずパフォーマンス計測と組み合わせて行い、実際の改善効果を確認することが重要です。
セッション関連の一般的な問題と解決策
セッション切れの適切な処理方法
セッション切れは、ユーザー体験に大きな影響を与える一般的な問題です。適切な処理を実装することで、ユーザーフレンドリーな対応が可能になります。
1. セッション有効期限の適切な設定
// config/session.php
return [
'lifetime' => env('SESSION_LIFETIME', 120), // 分単位
'expire_on_close' => false, // ブラウザを閉じても維持
// セッション再生成の間隔
'lottery' => [2, 100], // 2%の確率でガベージコレクション
];
2. セッション切れ検出と処理
// セッション切れ処理ミドルウェア
class SessionExpirationHandler
{
public function handle($request, Closure $next)
{
if (!$request->session()->has('last_activity')) {
$request->session()->put('last_activity', time());
}
$lastActivity = $request->session()->get('last_activity');
$sessionTimeout = config('session.lifetime') * 60; // 秒単位に変換
if (time() - $lastActivity > $sessionTimeout) {
// セッション切れの処理
$request->session()->flush();
if ($request->ajax()) {
return response()->json([
'error' => 'session_expired',
'message' => 'セッションが切れました。再度ログインしてください。'
], 401);
}
return redirect()->route('login')
->with('warning', 'セッションが切れました。再度ログインしてください。');
}
$request->session()->put('last_activity', time());
return $next($request);
}
}
3. グレースフルなセッション復旧
class SessionRecoveryService
{
public function attemptRecovery($userId)
{
// 最後の既知の状態を復元
$lastState = Cache::get("user_{$userId}_last_state");
if ($lastState) {
session()->put('recovered_state', $lastState);
return true;
}
return false;
}
public function backupCurrentState($userId)
{
// 現在の状態をキャッシュに保存
$currentState = session()->all();
Cache::put("user_{$userId}_last_state", $currentState, now()->addHours(24));
}
}
マルチデバイス対応のベストプラクティス
1. デバイス識別と管理
class DeviceManager
{
public function registerDevice(Request $request)
{
$device = [
'type' => $this->detectDeviceType($request),
'user_agent' => $request->userAgent(),
'ip' => $request->ip(),
'last_active' => now(),
];
session()->push('registered_devices', $device);
return $device;
}
protected function detectDeviceType(Request $request)
{
$agent = new \Jenssegers\Agent\Agent();
if ($agent->isDesktop()) return 'desktop';
if ($agent->isTablet()) return 'tablet';
if ($agent->isMobile()) return 'mobile';
return 'unknown';
}
}
2. デバイス間でのセッション同期
class SessionSynchronizer
{
public function syncDevices($userId)
{
$devices = session()->get('registered_devices', []);
foreach ($devices as $device) {
// デバイスごとのセッション状態を同期
Cache::tags(['user_sessions', "user_{$userId}"])
->put("device_{$device['type']}", [
'cart' => session()->get('cart'),
'preferences' => session()->get('preferences'),
'last_sync' => now(),
]);
}
}
public function loadDeviceState($userId, $deviceType)
{
$state = Cache::tags(['user_sessions', "user_{$userId}"])
->get("device_{$deviceType}");
if ($state) {
session()->put('cart', $state['cart']);
session()->put('preferences', $state['preferences']);
return true;
}
return false;
}
}
3. デバイス固有の設定管理
class DevicePreferences
{
public function setDeviceSpecific($key, $value)
{
$deviceType = $this->getCurrentDeviceType();
session()->put("device_specific.{$deviceType}.{$key}", $value);
}
public function getDeviceSpecific($key, $default = null)
{
$deviceType = $this->getCurrentDeviceType();
return session()->get(
"device_specific.{$deviceType}.{$key}",
$default
);
}
}
4. セッション競合の解決
class SessionConflictResolver
{
public function resolveConflicts($userId)
{
$devices = session()->get('registered_devices', []);
$conflicts = [];
foreach ($devices as $device) {
$deviceState = $this->getDeviceState($userId, $device['type']);
if ($this->hasConflict($deviceState)) {
$conflicts[] = [
'device' => $device,
'state' => $deviceState
];
}
}
if (!empty($conflicts)) {
return $this->handleConflicts($conflicts);
}
return null;
}
protected function handleConflicts($conflicts)
{
// 最新の状態を優先
usort($conflicts, function ($a, $b) {
return $b['state']['last_sync'] <=> $a['state']['last_sync'];
});
return $conflicts[0]['state'];
}
}
これらの実装により、セッション切れやマルチデバイス環境での問題に適切に対応できます。特に重要なのは、ユーザー体験を損なわないよう、グレースフルな処理を心がけることです。また、定期的なモニタリングとログ分析を行い、問題の早期発見と対応を行うことも重要です。
実践的なユースケースと実装例
ショッピングカートの実装方法
セッションを使用したショッピングカートの実装は、Eコマースアプリケーションの重要な要素です。以下に、実践的な実装例を示します。
1. カートの基本構造実装
class Cart
{
private $session;
public function __construct($session)
{
$this->session = $session;
}
public function getItems()
{
return $this->session->get('cart.items', []);
}
public function addItem($product, $quantity = 1)
{
$items = $this->getItems();
$productId = $product->id;
if (isset($items[$productId])) {
$items[$productId]['quantity'] += $quantity;
} else {
$items[$productId] = [
'id' => $product->id,
'name' => $product->name,
'price' => $product->price,
'quantity' => $quantity,
'added_at' => now()
];
}
$this->session->put('cart.items', $items);
$this->updateTotals();
}
public function updateQuantity($productId, $quantity)
{
$items = $this->getItems();
if (isset($items[$productId])) {
if ($quantity <= 0) {
unset($items[$productId]);
} else {
$items[$productId]['quantity'] = $quantity;
}
$this->session->put('cart.items', $items);
$this->updateTotals();
return true;
}
return false;
}
public function removeItem($productId)
{
$items = $this->getItems();
if (isset($items[$productId])) {
unset($items[$productId]);
$this->session->put('cart.items', $items);
$this->updateTotals();
return true;
}
return false;
}
private function updateTotals()
{
$items = $this->getItems();
$subtotal = 0;
$itemCount = 0;
foreach ($items as $item) {
$subtotal += $item['price'] * $item['quantity'];
$itemCount += $item['quantity'];
}
$this->session->put('cart.totals', [
'subtotal' => $subtotal,
'tax' => $subtotal * 0.1, // 10%の税率
'total' => $subtotal * 1.1,
'item_count' => $itemCount
]);
}
}
2. カートコントローラーの実装
class CartController extends Controller
{
private $cart;
public function __construct(Cart $cart)
{
$this->cart = $cart;
}
public function index()
{
return view('cart.index', [
'items' => $this->cart->getItems(),
'totals' => session()->get('cart.totals')
]);
}
public function add(Request $request, Product $product)
{
$this->validate($request, [
'quantity' => 'required|integer|min:1'
]);
$this->cart->addItem($product, $request->quantity);
return redirect()->route('cart.index')
->with('success', '商品をカートに追加しました。');
}
public function update(Request $request, $productId)
{
$this->validate($request, [
'quantity' => 'required|integer|min:0'
]);
if ($this->cart->updateQuantity($productId, $request->quantity)) {
return response()->json([
'success' => true,
'totals' => session()->get('cart.totals')
]);
}
return response()->json([
'success' => false,
'message' => '商品が見つかりません。'
], 404);
}
}
ユーザー認証システムの構築手順
セッションを活用した堅牢な認証システムの実装例を示します。
1. カスタム認証ガードの実装
class SessionGuard implements Guard
{
protected $session;
protected $provider;
protected $user;
public function __construct(Session $session, UserProvider $provider)
{
$this->session = $session;
$this->provider = $provider;
}
public function check()
{
return $this->user() !== null;
}
public function user()
{
if ($this->user !== null) {
return $this->user;
}
$id = $this->session->get('auth.id');
if ($id !== null) {
$this->user = $this->provider->retrieveById($id);
return $this->user;
}
return null;
}
public function login(Authenticatable $user)
{
$this->session->put('auth.id', $user->getAuthIdentifier());
$this->session->put('auth.last_login', now());
// セッションIDを再生成
$this->session->regenerate();
$this->user = $user;
event(new Login($user, false));
}
public function logout()
{
$user = $this->user();
$this->session->remove('auth.id');
$this->session->remove('auth.last_login');
// セッションIDを再生成
$this->session->invalidate();
$this->user = null;
if ($user) {
event(new Logout($user));
}
}
}
2. 多要素認証の実装
class TwoFactorAuthentication
{
protected $session;
public function __construct(Session $session)
{
$this->session = $session;
}
public function start(User $user)
{
// 2FA用のトークンを生成
$token = str_pad(random_int(0, 999999), 6, '0', STR_PAD_LEFT);
$this->session->put('2fa', [
'user_id' => $user->id,
'token' => $token,
'expires_at' => now()->addMinutes(10)
]);
// トークンをユーザーに送信(メール、SMS等)
event(new TwoFactorAuthenticationStarted($user, $token));
}
public function verify($token)
{
$twoFa = $this->session->get('2fa');
if (!$twoFa || now()->isAfter($twoFa['expires_at'])) {
return false;
}
if (hash_equals($twoFa['token'], $token)) {
$this->session->remove('2fa');
return true;
}
return false;
}
}
3. 認証ミドルウェアの拡張
class ExtendedAuthMiddleware
{
public function handle($request, Closure $next)
{
if (!auth()->check()) {
if ($request->ajax()) {
return response()->json(['error' => '認証が必要です。'], 401);
}
return redirect()->guest(route('login'));
}
$user = auth()->user();
$lastActivity = session('auth.last_activity');
// 一定時間操作がない場合は自動ログアウト
if ($lastActivity && now()->diffInMinutes($lastActivity) > config('auth.session_timeout')) {
auth()->logout();
return redirect()->route('login')
->with('warning', '一定時間操作がなかったため、ログアウトしました。');
}
session(['auth.last_activity' => now()]);
return $next($request);
}
}
これらの実装例は、実際のプロジェクトですぐに活用できる実践的なものです。セキュリティとユーザビリティのバランスを考慮しながら、必要に応じてカスタマイズすることで、プロジェクトの要件に合わせた実装が可能です。