Appearance
ルーティングとミドルウェア ― 認証がないルートは危険か?
この章のキーワード
| 用語 | 意味 | なぜ重要か |
|---|---|---|
| ルーティング | URL パターンとHTTPメソッドで実行するコードを決める仕組み | リクエストの入口を定義する |
| ミドルウェア | リクエストがコントローラーに届く前に実行される「門番」 | 認証・ログ・レート制限をコントローラーから分離 |
| 認証(Authentication) | リクエストの送信者が誰かを確認すること | 偽のリクエストを弾くための防御線 |
| エンドポイント | サーバーがリクエストを受け付ける URL | /webhook や /api/v1/events 等 |
Phase 1: 観察
LIBOT の API ルート定義を見てみましょう。
php
// routes/api.php
// Webhook ― ミドルウェアなし
Route::post('/webhook', [WebhookController::class, 'webhook']);
// Partner API ― 認証ミドルウェア付き
Route::prefix('v1/partner')->group(function () {
Route::post('/external-events', [ExternalEventController::class, 'store'])
->middleware('partner.auth:external_events');
Route::get('/operations/{operationId}', [OperationStatusController::class, 'show'])
->middleware('partner.auth:operations');
// ...
});同じ API ルートなのに、片方にはミドルウェアがあり、片方にはありません。
Phase 2: 判断
AI禁止ゾーン
/webhook ルートに認証ミドルウェアがありません。
- これは 問題ですか?
- なぜこうなっていると思いますか?
- あなたなら どう対処 しますか?
AIに聞く前に、自分の頭で考えてみましょう。
テキストを入力すると有効になります