<h1 id="%E3%81%93%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AF%E3%81%93%E3%81%AE%E6%A9%9F%E8%83%BD%E3%81%8C%E4%BD%BF%E3%81%88%E3%82%8B%E3%80%81%E3%81%BF%E3%81%9F%E3%81%84%E3%81%AA%E3%81%82%E3%82%8C%E3%82%92%E3%81%A9%E3%81%86%E5%AE%9F%E7%8F%BE%E3%81%99%E3%82%8B%E3%81%8B">
<a class="header-anchor-link" href="#%E3%81%93%E3%81%AE%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AF%E3%81%93%E3%81%AE%E6%A9%9F%E8%83%BD%E3%81%8C%E4%BD%BF%E3%81%88%E3%82%8B%E3%80%81%E3%81%BF%E3%81%9F%E3%81%84%E3%81%AA%E3%81%82%E3%82%8C%E3%82%92%E3%81%A9%E3%81%86%E5%AE%9F%E7%8F%BE%E3%81%99%E3%82%8B%E3%81%8B" aria-hidden="true"></a> このユーザーはこの機能が使える、みたいなあれをどう実現するか</h1>
<p>新しい記事公開しました！<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__67a56804de38c" src="https://embed.zenn.studio/card#zenn-embedded__67a56804de38c" data-content="https%3A%2F%2Fzenn.dev%2Fdove%2Farticles%2F8bed47a7a839ad" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://zenn.dev/dove/articles/8bed47a7a839ad" style="display:none" target="_blank">https://zenn.dev/dove/articles/8bed47a7a839ad</a></p>
<h2 id="%E7%B5%90%E8%AB%96">
<a class="header-anchor-link" href="#%E7%B5%90%E8%AB%96" aria-hidden="true"></a> 結論</h2>
<p>DBで実現するかアプリケーション側でライブラリで実現する。casbinが強そうだぞ。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__35cf736d1b60e" src="https://embed.zenn.studio/card#zenn-embedded__35cf736d1b60e" data-content="https%3A%2F%2Fcasbin.org%2Fen%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://casbin.org/en/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://casbin.org/en/</a></p>
<h2 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h2>
<p>ユーザーテーブルに<code>isAdmin</code>というカラムを使って、アドミンかそうでないかで、アクセスコントロールを分けていたが、サービスが大きくなり、もう少し細かくコントロールする必要になった。そこで、情報収集してえた見識をまとめておく。</p>
<h2 id="%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%A8%E3%81%84%E3%81%86%E8%80%83%E3%81%88%E6%96%B9%E3%82%92%E7%9F%A5%E3%82%8B">
<a class="header-anchor-link" href="#%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%82%B3%E3%83%B3%E3%83%88%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%A8%E3%81%84%E3%81%86%E8%80%83%E3%81%88%E6%96%B9%E3%82%92%E7%9F%A5%E3%82%8B" aria-hidden="true"></a> アクセスコントロールという考え方を知る</h2>
<p>だれがこのファイルを操作できるのかみたいなやつ。おおきく4つのパターンがあるみたい。</p>
<ol>
<li>DAC</li>
<li>RBAC</li>
<li>MAC</li>
<li>ABAC</li>
</ol>
<h2 id="dac%E3%81%A8rbac%E3%81%A8mac">
<a class="header-anchor-link" href="#dac%E3%81%A8rbac%E3%81%A8mac" aria-hidden="true"></a> DACとRBACとMAC</h2>
<p>この３つはまとめて図で理解したほうが覚えやすいと思う。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/0plgv7g94vn6884rnvzpcnh3recl" alt="DACとRBACとMACの図" loading="lazy" class="md-img"></p>
<p>DAC(任意アクセス制御)はユーザー側が<em>任意に</em>この機能を誰が使えるか設定する。例えばgoogleでファイル共有するときに誰までが閲覧可能かどうか設定する、あれのこと。ちなみに、Linuxのファイルシステムなどに利用される。反対にMAC(強制アクセス制御)は完全にシステムからレベルごとに使える機能を限定されている。軍隊などでよく利用される。例えば、めちゃくちゃ下っ端だとここまでの情報しか取得できないみたいなやつ。DACはユーザーに自由度を与え過ぎるのが欠点。MACは、純粋にレベルがあがると利用できる機能が増えていくモデルなので、例えば作成はできるけど閲覧はできないみたいな表現ができないのが欠点。</p>
<p>RBAC(ロールベースアクセス制御)は２つに比べたら比較的新し目。ロールという中間層を設ける。ユーザー側からしたら割り振られたロールが可能な機能しか使えない。システム側からしたらユーザーに自由度は与えずに、かつ機能のわりふりが比較的表現度たかく行える。</p>
<h2 id="abac">
<a class="header-anchor-link" href="#abac" aria-hidden="true"></a> ABAC</h2>
<p><img src="https://storage.googleapis.com/zenn-user-upload/b9dq4vc8nlqr6q187kquowvtfjx6" alt="ABACの図" loading="lazy" class="md-img"></p>
<p>ちょっとトリッキー。最終進化系かもしれない。こちらは条件を複雑にしたもの。例えば、</p>
<ul>
<li>本店勤務である、店長クラスであれば削除ができる(閲覧と作成と更新もできる)</li>
<li>店長クラスであれば閲覧と作成と更新ができる</li>
<li>支店勤務であれば閲覧ができる<br>
みたいに、その人の属性によって細かく権限を変える考え方。めっちゃ複雑。もう少しシンプルにしてRBACでも対応できると思う。</li>
<li>本店の店長ロールは全権限がある</li>
<li>支店店長ロールは閲覧と作成と更新ができる。</li>
<li>支店バイトロールは閲覧しかできない。<br>
みたいな感じ。</li>
</ul>
<h2 id="dac%E3%81%A8rbac%E3%81%A8mac%E3%82%92%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AE%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%81%AB%E6%B4%BB%E3%81%8B%E3%81%97%E3%81%A6%E8%80%83%E3%81%88%E3%81%A6%E3%81%BF%E3%82%8B">
<a class="header-anchor-link" href="#dac%E3%81%A8rbac%E3%81%A8mac%E3%82%92%E3%82%A2%E3%83%97%E3%83%AA%E3%81%AE%E6%A8%A9%E9%99%90%E7%AE%A1%E7%90%86%E3%81%AB%E6%B4%BB%E3%81%8B%E3%81%97%E3%81%A6%E8%80%83%E3%81%88%E3%81%A6%E3%81%BF%E3%82%8B" aria-hidden="true"></a> DACとRBACとMACをアプリの権限管理に活かして考えてみる</h2>
<p>上記はどちらかというとシステムレベルでコンテンツにアクセスするさいのふるい分けでよく言われる話で、webサービスの権限的な部分での話とは少し違う気がする(ユーザーが自由に権限管理できたら権限の意味がない)。ただ上記の図は権限管理に活かせそうな気がする。ここは上記の図をヒントに、少し違った考えをしてみる。</p>
<p>下記はDBを利用しているが、動的に変化することがなければテキストファイル(yml的なものとか)でも良いと思う。</p>
<h3 id="%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BCid%E3%81%AB%E7%9B%B4%E6%8E%A5%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%93%E3%81%A8%E3%82%92%E7%B4%90%E4%BB%98%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BCid%E3%81%AB%E7%9B%B4%E6%8E%A5%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%93%E3%81%A8%E3%82%92%E7%B4%90%E4%BB%98%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3" aria-hidden="true"></a> ユーザーidに直接できることを紐付けるパターン</h3>
<p>DBで次のように権限テーブルを作成する。</p>
<table>
<thead>
<tr>
<th>userId</th>
<th>view</th>
<th>create</th>
<th>edit</th>
<th>delete</th>
</tr>
</thead>
<tbody>
<tr>
<td>1</td>
<td>true</td>
<td>true</td>
<td>true</td>
<td>true</td>
</tr>
<tr>
<td>2</td>
<td>true</td>
<td>false</td>
<td>false</td>
<td>false</td>
</tr>
</tbody>
</table>
<p>アプリケーション側ではユーザー取得に権限テーブルをjoinし、各操作の真偽値を保持しておく。</p>
<div class="code-block-container"><pre class="language-js"><code class="language-js"><span class="token keyword">const</span> <span class="token function-variable function">create</span> <span class="token operator">=</span> <span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token arrow operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token comment">// さすがにuser.createという取得は嫌なので</span>
  <span class="token keyword control-flow">if</span><span class="token punctuation">(</span><span class="token operator">!</span>user<span class="token punctuation">.</span><span class="token property-access">create</span><span class="token punctuation">)</span><span class="token punctuation">{</span>
    <span class="token keyword control-flow">throw</span> <span class="token keyword">new</span> <span class="token class-name">Error</span><span class="token punctuation">(</span><span class="token string">'create is not permitted.'</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
  <span class="token punctuation">}</span>
  
  <span class="token comment">// create something.</span>
<span class="token punctuation">}</span> 
</code></pre></div><h3 id="%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AB%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%93%E3%81%A8%E3%82%92%E7%B4%90%E4%BB%98%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3">
<a class="header-anchor-link" href="#%E3%83%AD%E3%83%BC%E3%83%AB%E3%81%AB%E3%81%A7%E3%81%8D%E3%82%8B%E3%81%93%E3%81%A8%E3%82%92%E7%B4%90%E4%BB%98%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3" aria-hidden="true"></a> ロールにできることを紐付けるパターン</h3>
<p>DBではuserテーブルにroleカラムができ、権限テーブルにroleIdと各操作がひも付く。<br>
userテーブル</p>
<table>
<thead>
<tr>
<th>userId</th>
<th>name</th>
<th>roleId</th>
</tr>
</thead>
<tbody>
<tr>
<td>1</td>
<td>bob</td>
<td>1</td>
</tr>
<tr>
<td>2</td>
<td>alice</td>
<td>2</td>
</tr>
</tbody>
</table>
<p>権限テーブル</p>
<table>
<thead>
<tr>
<th>roleId</th>
<th>name</th>
<th>view</th>
<th>create</th>
<th>edit</th>
<th>delete</th>
</tr>
</thead>
<tbody>
<tr>
<td>1</td>
<td>ADMIN</td>
<td>true</td>
<td>true</td>
<td>true</td>
<td>true</td>
</tr>
<tr>
<td>2</td>
<td>GUEST</td>
<td>true</td>
<td>false</td>
<td>false</td>
<td>false</td>
</tr>
</tbody>
</table>
<p>アプリケーション側のコード</p>
<div class="code-block-container"><pre class="language-js"><code class="language-js"><span class="token keyword">const</span> <span class="token function-variable function">create</span> <span class="token operator">=</span> <span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token arrow operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token keyword control-flow">if</span><span class="token punctuation">(</span><span class="token operator">!</span>user<span class="token punctuation">.</span><span class="token property-access">role</span><span class="token punctuation">.</span><span class="token property-access">create</span><span class="token punctuation">)</span><span class="token punctuation">{</span>
    <span class="token keyword control-flow">throw</span> <span class="token keyword">new</span> <span class="token class-name">Error</span><span class="token punctuation">(</span><span class="token string">'create is not permitted.'</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
  <span class="token punctuation">}</span>
  
  <span class="token comment">// create something.</span>
<span class="token punctuation">}</span> 
</code></pre></div><p>もしくは、userテーブルにroleカラムだけおいておき、権限テーブルは作らないという選択もある。その場合はアプリケーション側で分岐する。</p>
<div class="code-block-container"><pre class="language-js"><code class="language-js"><span class="token keyword">const</span> <span class="token function-variable function">create</span> <span class="token operator">=</span> <span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token arrow operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token comment">// 対応ロールが増えるとここの分岐が増える。</span>
  <span class="token comment">// const permissions = ['ADMIN', 'LEADER']として、if(permissions.includes(user.role)) とするのもあり。</span>
  <span class="token keyword control-flow">if</span><span class="token punctuation">(</span>user<span class="token punctuation">.</span><span class="token property-access">role</span> <span class="token operator">!==</span> '<span class="token constant">ADMIN</span><span class="token punctuation">)</span><span class="token punctuation">{</span>
    <span class="token keyword control-flow">throw</span> <span class="token keyword">new</span> <span class="token class-name">Error</span><span class="token punctuation">(</span><span class="token template-string"><span class="token template-punctuation string">`</span><span class="token string">role need admin. you role: </span><span class="token interpolation"><span class="token interpolation-punctuation punctuation">${</span>user<span class="token punctuation">.</span><span class="token property-access">role</span><span class="token interpolation-punctuation punctuation">}</span></span><span class="token template-punctuation string">`</span></span><span class="token punctuation">)</span><span class="token punctuation">;</span>
  <span class="token punctuation">}</span>
  
  <span class="token comment">// create something.</span>
<span class="token punctuation">}</span> 
</code></pre></div><p>もしくはRBACを実現できるライブラリを導入して、権限テーブルの部分をアプリケーションがわのどこかであらかじめ宣言しておくという方法もある。</p>
<h2 id="%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E3%83%AC%E3%83%99%E3%83%AB%E3%82%92%E3%81%A4%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3">
<a class="header-anchor-link" href="#%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC%E3%81%AB%E3%83%AC%E3%83%99%E3%83%AB%E3%82%92%E3%81%A4%E3%81%91%E3%82%8B%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3" aria-hidden="true"></a> ユーザーにレベルをつけるパターン</h2>
<p>ユーザーテーブルにレベルカラムをつけて、アプリケーション側でレベルが閾値以上かチェックする。どのレベル権限でどの操作ができるのかという情報はドキュメントにちゃんとまとめておかないと、あとで地獄をみそう。</p>
<p>userテーブル</p>
<table>
<thead>
<tr>
<th>userId</th>
<th>name</th>
<th>level</th>
</tr>
</thead>
<tbody>
<tr>
<td>1</td>
<td>bob</td>
<td>2</td>
</tr>
<tr>
<td>2</td>
<td>alice</td>
<td>1</td>
</tr>
</tbody>
</table>
<p>アプリケーション側のコード</p>
<div class="code-block-container"><pre class="language-js"><code class="language-js"><span class="token keyword">const</span> <span class="token function-variable function">create</span> <span class="token operator">=</span> <span class="token punctuation">(</span><span class="token punctuation">)</span> <span class="token arrow operator">=&gt;</span> <span class="token punctuation">{</span>
  <span class="token keyword control-flow">if</span><span class="token punctuation">(</span><span class="token operator">!</span>user<span class="token punctuation">.</span><span class="token property-access">level</span> <span class="token operator">&lt;=</span> <span class="token number">1</span><span class="token punctuation">)</span><span class="token punctuation">{</span>
    <span class="token keyword control-flow">throw</span> <span class="token keyword">new</span> <span class="token class-name">Error</span><span class="token punctuation">(</span><span class="token string">'create is not permitted.'</span><span class="token punctuation">)</span><span class="token punctuation">;</span>
  <span class="token punctuation">}</span>
  
  <span class="token comment">// create something.</span>
<span class="token punctuation">}</span> 
</code></pre></div><h2 id="specification-%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3">
<a class="header-anchor-link" href="#specification-%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3" aria-hidden="true"></a> specification パターン</h2>
<p>デザインパターンのひとつにspecificationパターンというものがある。DDD本のどこかででてくる。複雑な条件のビジネスロジックを扱うパターン。これを利用する手もあるかなと思った。</p>
<h2 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h2>
<p>この分野初心者なので、もし詳しい方いましたら教えていただけるとありがたいです^^</p>


このユーザーはこの機能が使える、みたいなあれをどう実現するか

アクセスコントロールという考え方を知る

ユーザーidに直接できることを紐付けるパターン

ロールにできることを紐付けるパターン

DACとRBACとMACをアプリの権限管理に活かして考えてみる

ユーザーにレベルをつけるパターン

にゃーん

ハトすけ

スー

<p>僕なら『ユーザーにレベルをつけるパターン』にします！</p>
<p>『ユーザーidに直接できることを紐付けるパターン』だと、機能が増えるたびにDBをいじる必要がある　や　この権限変えた方がいいよねというときに既存のレコードを書き直すDB処理をする必要がある　などの辛さが出てきます。</p>
<p>『ユーザーにレベルをつけるパターン』にしておき、ユーザーのクラスなどで権限を管理するのは一つの手です。user.can_view? や user.can_delete? などのメソッドを用意しておいて、レベルの値を意識することなく処理できるようにするなど</p>
<p>こうしておけばドキュメントを作らなくてもそのクラスを見れば、どのレベルがどの操作を許されているかが分かるような、、、</p>
<p>あくまでも一意見ですが、、</p>


<p>ネココニャンさん、コメントありがとうございます^^</p>
<blockquote>
<p>機能が増えるたびにDBをいじる必要がある</p>
</blockquote>
<p>ここ確かにそうですね😳 特にどんどん機能を追加していくフェーズだと、度重なるスキーマ変更が開発の邪魔になりそうです。</p>
<p>ユーザーサイドでめちゃくちゃ細かい権限の動的変更が求められない限り、DBで管理するよりも、DBには識別(レベルやロールなど)だけ置いておき、アプリケーション側で対応するほうがよさげです😁</p>
<p>また、ユーザークラスにメソッドごとの使用許可メソッドを作っておき、そのメソッドを呼び出すまえに、必ず使用許可メソッドを契約的に呼び出して権限チェックをする方式、いいですね！　こうすれば権限チェックコードがあちこちに散らばらずにコード自体をドキュメントとして使えそうです。</p>
<p>その方針でいこうかなと思います。ありがとうございます😊</p>


<ul>
<li>ロールにできることを紐付けるパターン</li>
<li>ユーザーにレベルをつけるパターン</li>
</ul>
<p>の下のuserテーブルの表記が崩れているかもです！<br>
下のように書き直せばいけそうですー！<br>
プルリクエストが出せないようなので、コメントにて失礼しますー</p>
<table>
<thead>
<tr>
<th>userId</th>
<th>name</th>
<th>roleId</th>
</tr>
</thead>
<tbody>
<tr>
<td>1</td>
<td>bob</td>
<td>1</td>
</tr>
<tr>
<td>2</td>
<td>alice</td>
<td>2</td>
</tr>
</tbody>
</table>


<p>ありがとうございます！<br>
修正しますね！</p>


userId	name	roleId
1	bob	1
2	alice	2

Discussion