feat: 投稿の権限確認機能を追加し、APIルートを整理

idw-coder · idw-coder · commit 715043d6d682 · 2025-11-20T11:19:00.000+09:00
diff --git a/README.md b/README.md
@@ -84,6 +84,46 @@ mysql> desc users;
 +-------------------+---------------------+------+-----+---------+----------------+
 9 rows in set (0.01 sec)
 
+mysql> desc roles;
++------------+---------------------+------+-----+---------+----------------+
+| Field      | Type                | Null | Key | Default | Extra          |
++------------+---------------------+------+-----+---------+----------------+
+| id         | bigint(20) unsigned | NO   | PRI | NULL    | auto_increment |
+| name       | varchar(255)        | NO   | UNI | NULL    |                |
+| label      | varchar(255)        | YES  |     | NULL    |                |
+| created_at | timestamp           | YES  |     | NULL    |                |
+| updated_at | timestamp           | YES  |     | NULL    |                |
++------------+---------------------+------+-----+---------+----------------+
+5 rows in set (0.00 sec)
+
+```
+
+### API ルート
+
+```php
+wida@LAPTOP-2C4PL9J8:~/dev/laravel-rds$ ./vendor/bin/sail artisan route:list
+WARN[0000] The "MYSQL_EXTRA_OPTIONS" variable is not set. Defaulting to a blank string.
+WARN[0000] The "MYSQL_EXTRA_OPTIONS" variable is not set. Defaulting to a blank string.
+
+  GET|HEAD        / .................................................................................................................
+  GET|HEAD        api/auth/google ......................................................... Api\GoogleAuthController@redirectToGoogle
+  GET|HEAD        api/auth/google/callback ............................................ Api\GoogleAuthController@handleGoogleCallback
+  POST            api/login ........................................................................ login › Api\AuthController@login
+  POST            api/logout .............................................................................. Api\AuthController@logout
+  GET|HEAD        api/posts .................................................................. posts.index › Api\PostController@index
+  POST            api/posts .................................................................. posts.store › Api\PostController@store
+  GET|HEAD        api/posts/{post} ............................................................. posts.show › Api\PostController@show
+  PUT|PATCH       api/posts/{post} ......................................................... posts.update › Api\PostController@update
+  DELETE          api/posts/{post} ....................................................... posts.destroy › Api\PostController@destroy
+  GET|HEAD        api/profile ............................................................................... Api\UserController@show
+  PUT             api/profile ............................................................................. Api\UserController@update
+  GET|HEAD        api/test ..........................................................................................................
+  GET|HEAD        api/user ..........................................................................................................
+  GET|HEAD        sanctum/csrf-cookie ............................. sanctum.csrf-cookie › Laravel\Sanctum › CsrfCookieController@show
+  GET|HEAD        storage/{path} ...................................................................................... storage.local
+  GET|HEAD        up ................................................................................................................
+
+                                                                                                                  Showing [17] routes
 ```
 
 ## 手順
diff --git a/app/Http/Controllers/Api/PostController.php b/app/Http/Controllers/Api/PostController.php
@@ -6,24 +6,40 @@
 use App\Models\Post;
 use Illuminate\Http\Request;
 
+
 class PostController extends Controller
 {
+    // 投稿の権限を確認するメソッド
+    private function authorizePost(Request $request)
+    {
+        $roleNames = $request->user()->roles->pluck('name');
+
+        if (!$roleNames->contains('admin') && !$roleNames->contains('paid')) {
+            return response()->json(['message' => 'この操作を行う権限がありません'], 403);
+        }
+
+        return null;
+    }
+    
     // 一覧取得
     public function index(Request $request)
     {
-        // $request->user()で認証済みユーザーを取得できる理由:
-        // 1. このルートは auth:sanctum ミドルウェアで保護されている（routes/api.php参照）
-        // 2. リクエストヘッダーのBearerトークンが検証され、認証済みユーザーがリクエストにバインドされる
-        // 3. 未認証の場合は401エラーが返されるため、ここでは常に認証済みユーザーが存在する
-        $currentUserId = $request->user()->id;
+        // ログインしている場合はユーザーIDを取得、未ログインの場合はnull
+        // $request->user()は認証済みユーザーを返すが、未認証の場合はnullを返す
+        $currentUserId = $request->user()->id ?? null;
 
-        $posts = Post::with('user')
-            ->where(function ($query) use ($currentUserId) {
-                // 条件: 「公開」または「自分の投稿」
-                $query->where('status', 'published')
-                      ->orWhere('user_id', $currentUserId);
+        $posts = Post::with('user') // ユーザー情報も一緒に取得（N+1問題の回避）
+            ->when($currentUserId, function ($query) use ($currentUserId) {
+                // ログイン時: 公開記事 + 自分の投稿（下書き含む）を表示
+                $query->where(function ($q) use ($currentUserId) {
+                    $q->where('status', 'published')  // 公開記事
+                      ->orWhere('user_id', $currentUserId); // または自分の投稿（下書きも含む）
+                });
+            }, function ($query) {
+                // 未ログイン時: 公開記事のみを表示
+                $query->where('status', 'published');
             })
-            ->latest() // 新しい順に並べる（任意）
+            ->latest() // 新しい順に並べる（created_at DESC）
             ->get();
 
         return $posts;
@@ -32,6 +48,9 @@ public function index(Request $request)
     // 作成
     public function store(Request $request)
     {
+        if ($res = $this->authorizePost($request)) {
+            return $res;
+        }
         // 認証済みユーザーに紐づけて投稿を作成
         // $request->user(): 認証済みのユーザーを取得
         // ->posts(): Userモデルのposts()リレーションを使用
@@ -41,11 +60,12 @@ public function store(Request $request)
         return response()->json($post->load('user'), 201);
     }
 
-    // 詳細取得（ここも重要！）
+    // 詳細取得
     public function show(Request $request, Post $post)
     {
+        $currentUserId = $request->user()->id ?? null;
         // 「下書き」かつ「自分の投稿でない」場合は閲覧禁止 (403 Forbidden)
-        if ($post->status !== 'published' && $post->user_id !== $request->user()->id) {
+        if ($post->status !== 'published' && $post->user_id !== $currentUserId) {
              abort(403, 'この投稿を閲覧する権限がありません。');
         }
         
@@ -55,6 +75,9 @@ public function show(Request $request, Post $post)
     // 更新
     public function update(Request $request, Post $post)
     {
+        if ($res = $this->authorizePost($request)) {
+            return $res;
+        }
         // 他人の投稿は更新禁止
         if ($post->user_id !== $request->user()->id) {
             abort(403, '更新権限がありません。');
@@ -67,6 +90,9 @@ public function update(Request $request, Post $post)
     // 削除
     public function destroy(Request $request, Post $post)
     {
+        if ($res = $this->authorizePost($request)) {
+            return $res;
+        }
          // 他人の投稿は削除禁止
         if ($post->user_id !== $request->user()->id) {
              abort(403, '削除権限がありません。');
diff --git a/database/seeders/DatabaseSeeder.php b/database/seeders/DatabaseSeeder.php
@@ -23,20 +23,28 @@ public function run(): void
 
         // freeユーザー
         $freeUser = User::factory()->create([
-            'name'     => 'Free User',
-            'email'    => 'free@example.com',
+            'name'     => 'たなか',
+            'email'    => 'tanaka@example.com',
             'password' => Hash::make('password'),
         ]);
         $freeUser->roles()->attach($freeRoleId);
 
         // paidユーザー
         $paidUser = User::factory()->create([
-            'name'     => 'Paid User',
-            'email'    => 'paid@example.com',
+            'name'     => 'わたなべ',
+            'email'    => 'watanabe@example.com',
             'password' => Hash::make('password'),
         ]);
         $paidUser->roles()->attach($paidRoleId);
 
+        // paidユーザー2
+        $paidUser2 = User::factory()->create([
+            'name'     => 'まつもと',
+            'email'    => 'matsumoto@example.com',
+            'password' => Hash::make('password'),
+        ]);
+        $paidUser2->roles()->attach($paidRoleId);
+
         // adminユーザー
         $adminUser = User::factory()->create([
             'name'     => 'Admin User',
diff --git a/database/seeders/PostSeeder.php b/database/seeders/PostSeeder.php
@@ -9,33 +9,91 @@
 
 class PostSeeder extends Seeder
 {
+    /**
+     * 1~5行のランダムなcontentを生成
+     */
+    private function generateContent(int $lineCount, string $userName, int $postNumber, string $type = '投稿'): string
+    {
+        $lines = [];
+        for ($i = 1; $i <= $lineCount; $i++) {
+            $lines[] = "これは{$userName}の{$type} {$postNumber} の{$i}行目です。";
+        }
+        return implode("\n", $lines);
+    }
+
     public function run(): void
     {
-        $paidUser  = User::where('email', 'paid@example.com')->first();
+        $paidUser  = User::where('email', 'watanabe@example.com')->first();
+        $paidUser2 = User::where('email', 'matsumoto@example.com')->first();
         $adminUser = User::where('email', 'admin@example.com')->first();
 
-        // paidユーザーに 5 投稿
+        // paidユーザー（わたなべ）に 5 投稿（公開）
         if ($paidUser) {
             for ($i = 1; $i <= 5; $i++) {
+                $lineCount = rand(1, 5);
+                Post::create([
+                    'user_id' => $paidUser->id,
+                    'title'   => "わたなべの投稿 {$i}",
+                    'content' => $this->generateContent($lineCount, 'わたなべ', $i, '投稿'),
+                    'status'  => 'published',
+                ]);
+            }
+            // paidユーザー（わたなべ）に 3 下書き投稿
+            for ($i = 1; $i <= 3; $i++) {
+                $lineCount = rand(1, 5);
                 Post::create([
                     'user_id' => $paidUser->id,
-                    'title'   => "Paidユーザーの投稿 {$i}",
-                    'content' => "これはPaidユーザーの投稿 {$i} です。",
+                    'title'   => "わたなべの下書き {$i}",
+                    'content' => $this->generateContent($lineCount, 'わたなべ', $i, '下書き'),
+                    'status'  => 'draft',
+                ]);
+            }
+        }
+
+        // paidユーザー2（まつもと）に 5 投稿（公開）
+        if ($paidUser2) {
+            for ($i = 1; $i <= 5; $i++) {
+                $lineCount = rand(1, 5);
+                Post::create([
+                    'user_id' => $paidUser2->id,
+                    'title'   => "まつもとの投稿 {$i}",
+                    'content' => $this->generateContent($lineCount, 'まつもと', $i, '投稿'),
                     'status'  => 'published',
                 ]);
             }
+            // paidユーザー2（まつもと）に 3 下書き投稿
+            for ($i = 1; $i <= 3; $i++) {
+                $lineCount = rand(1, 5);
+                Post::create([
+                    'user_id' => $paidUser2->id,
+                    'title'   => "まつもとの下書き {$i}",
+                    'content' => $this->generateContent($lineCount, 'まつもと', $i, '下書き'),
+                    'status'  => 'draft',
+                ]);
+            }
         }
 
-        // adminユーザーに 3 投稿
+        // adminユーザーに 3 投稿（公開）
         if ($adminUser) {
             for ($i = 1; $i <= 3; $i++) {
+                $lineCount = rand(1, 5);
                 Post::create([
                     'user_id' => $adminUser->id,
                     'title'   => "Adminユーザーの投稿 {$i}",
-                    'content' => "これはAdminユーザーの投稿 {$i} です。",
+                    'content' => $this->generateContent($lineCount, 'Adminユーザー', $i, '投稿'),
                     'status'  => 'published',
                 ]);
             }
+            // adminユーザーに 2 下書き投稿
+            for ($i = 1; $i <= 2; $i++) {
+                $lineCount = rand(1, 5);
+                Post::create([
+                    'user_id' => $adminUser->id,
+                    'title'   => "Adminユーザーの下書き {$i}",
+                    'content' => $this->generateContent($lineCount, 'Adminユーザー', $i, '下書き'),
+                    'status'  => 'draft',
+                ]);
+            }
         }
     }
 }
diff --git a/routes/api.php b/routes/api.php
@@ -45,17 +45,6 @@
 // Google OAuth（認証不要）
 Route::get('/auth/google', [GoogleAuthController::class, 'redirectToGoogle']);
 Route::get('/auth/google/callback', [GoogleAuthController::class, 'handleGoogleCallback']);
-
-// 認証が必要なルート
-Route::middleware('auth:sanctum')->group(function () {
-    Route::get('/user', function (Request $request) {
-        return $request->user();
-    });
-    
-    Route::post('/logout', [AuthController::class, 'logout']);
-
-    Route::get('/profile', [UserController::class, 'show']);
-    Route::put('/profile', [UserController::class, 'update']);
     
     /**
      * APIリソースルート（RESTful API用）
@@ -74,5 +63,19 @@
      *   5. PATCH  /api/posts/{post}    → PostController::update()
      *   6. DELETE /api/posts/{post}    → PostController::destroy()
      */
-    Route::apiResource('posts', PostController::class);
+// 認証不要で投稿一覧と詳細を取得できるようにする
+Route::apiResource('posts', PostController::class)->only(['index', 'show']);
+
+// 認証が必要なルート
+Route::middleware('auth:sanctum')->group(function () {
+    Route::get('/user', function (Request $request) {
+        return $request->user();
+    });
+    
+    Route::post('/logout', [AuthController::class, 'logout']);
+
+    Route::get('/profile', [UserController::class, 'show']);
+    Route::put('/profile', [UserController::class, 'update']);
+
+    Route::apiResource('posts', PostController::class)->only(['store', 'update', 'destroy']);
 });
