『自分のデータだけ見せたい！』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分

Copyright© M&Aクラウドこの発表で伝えたいこと • 権限管理プロジェクトの取り組み⽅を題材に ▪ 課題設定⼒ • 複雑な仕様をシンプルにする思考プロセス ▪
課題解決⼒ • 複雑な仕様をシンプルな実装で実現するアーキテクチャ

Copyright© M&Aクラウドアジェンダ 1. はじめに 2. なんだか難しいぞ！権限管理 3. 権限処理の全体像 4.
権限管理における課題解決の具体的なアプローチ 5. まとめ

Copyright© M&Aクラウドシステム構成 7 • バックエンド：PHP, Laravel • フロントエンド：SvelteKit, TypeScript
• アーキテクチャ：レイヤードアーキテクチャを採⽤ • 主要なエンティティ：Company,Deal,Sourcingなど

Copyright© M&Aクラウドプロジェクト概要 8 • 期間：企画 1ヶ⽉＋開発 1.5ヶ⽉ • 体制：エンジニア
3⼈＋PdM 1⼈ • ⽬的：部署 / 担当者 / 外部パートナー間で”閲覧できるデータ”を分離 • スコープ in：権限基盤 / UI制御 • スコープ out：権限管理GUI

Copyright© M&Aクラウドどのようなデータ設計になるのか？先⼈たちの知恵を借りる • 権限モデル ◦ RBAC（Role Base Access Control）
▪ ロール〈＝職種‧部署など〉に権限を付与 ◦ ABAC（Attribute Base Access Control） ▪ ユーザー‧オブジェクト‧環境の属性で動的判定権限管理のモデル：先⼈たちの知恵を借りる 11

Copyright© M&Aクラウド初期要件の整理 12 要求の核⼼は「⾃分のデータだけ⾒せたい」 • 部署/役職ベースのアクセス制御（RBAC） • 担当者ベースのアクセス制御（ABAC） •
基本的な権限制御

Copyright© M&Aクラウド権限制御に関わる変数 15 • 部署：24種 • 役職：4種 • オブジェクト：8種
• スコープ：20種 • アクション：13種

Copyright© M&Aクラウド単純に変数を掛け合わせると 24 * 4 * 8 * 20
* 13 = ???パターン組み合わせ爆発💣💥 16

Copyright© M&Aクラウドパターンを抑える作戦その２ 21 部署単位でスコープを分けるデータを最低限に抑える →主要な「案件」オブジェクトのみ詳細なスコープ制御を⾏い、他はシンプルな制御に集約しました！ 8オブジェクト * 20スコープ
→ 1オブジェクト * 20スコープ

Copyright© M&Aクラウド実装検討へ 23 要件、仕様も固まってきて、対応する権限パターンも⾒えてきたこの権限機能をどう実装するのか • Laravel 標準のGate /
Policy では難しそう ◦ RBACは対応できるが、ABACの対応が困難であった • 複雑な属性ベース制御が必要になる • RBACとABACの両⽅に対応する必要がある

Copyright© M&Aクラウド Casbinとは？ 24 宣⾔的アクセス制御エンジン • RBAC,ABAC, ACLを同⼀DSLで定義 • Go⾔語製、多⾔語バインディング
◦ 今回はPHP-Casbinを利⽤ • Model (ルール) と Policy (データ) 分離 • DB, Redis, CSVファイルなんでもポリシー保存可

Copyright© M&Aクラウド Casbinの基本4ブロック 26 1. request_definition （r = sub, obj,
act ） a. リクエスト引数の並びを宣⾔ 2. policy_definition （p = sub, obj, act） a. ポリシー⾏の列順を宣⾔ 3. role_definition （g = _, _） a. ロール継承 (RBAC) を有効化 4. matcher （m = g(r.sub,p.sub) && r.obj==p.obj && r.act==p.act） a. r.* と p.* をどう⽐べるかを論理式で定義

Copyright© M&AクラウドなぜCasbinを選んだか 28 いくつかあるライブラリの中でCasbinを選んだのは、 • 既存システムでの利⽤実績 • 複雑なモデルへの対応⼒ ◦
ABACに対応できる ▪ matcherでABAC条件を書ける ◦ データの持ち⽅がシンプルなので拡張しやすい

Copyright© M&Aクラウド Casbinモデル設計：最初の挑戦とシンプルな過ち 29 さあ、実装していこう！ • 要件は「サブジェクト(誰が)」「オブジェクト(何を)」「アクション(どうする)」に加え、「スコープ(どの範囲で)」という重要な概念がありました • 当初はCasbinの基本である3要素
(sub, obj, act) を維持するため、「オブジェクト」と「スコープ」を⼀体化して obj として扱う、シンプルな設計を試みましたが。。。

Copyright© M&Aクラウド Casbinモデル設計：最初の挑戦とシンプルな過ち 30 ▼ 最初の設計案（失敗例） • オブジェクト Company +
スコープ ALL ◦ Casbinの obj には 'Company_ALL' という⽂字列を渡す。 • オブジェクト Company + スコープ OWN ◦ Casbinの obj には 'Company_OWN' という⽂字列を渡す。

Copyright© M&Aクラウド設計の落とし⽳：⼀体化がもたらした複雑性 32 「オブジェクトとスコープの⼀体化」案は、すぐに問題に直⾯ • 同じオブジェクトなのに別扱いに ◦ 『企業_ALL』と『企業_OWN』は同じ『企業』オブジェクトなのに、ポリシー上は全くの別物として扱う必要がある
• メンテナンス性の悪化 ◦ 新しいスコープが増えるたびに、オブジェクトの数だけ追加が必要

Copyright© M&Aクラウド解決策：モデルの分離と真のシンプルさの回復 33 この問題を解決するため、私たちはCasbinのモデル定義を拡張し、「オブジェクト」と「スコープ」を分離する決断💡 • request_deﬁnition: sub, obj,
scope, act ◦ オブジェクトとスコープの分離 ◦ 4要素での権限表現

Copyright© M&Aクラウド権限処理の全体像：5つの主要な登場⼈物 36 • 主要コンポーネントの役割説明 ◦ ⾨番：PermissionEnforcerMiddleware ◦ 司令塔：PermissionChecker
◦ 専⾨家：ObjectIdentiﬁer ◦ 実⾏者：Casbin(EnforcerAdapter) ◦ 情報伝達役：PermissionContext

Copyright© M&Aクラウド権限管理における課題解決の具体的なアプローチ 39 実装の壁を乗り越える３つの技術戦略＋α • 権限チェック処理の責務分離とテスト容易性の向上 • 属性ベースアクセス制御 (ABAC)
の実現 • データフィルタリングとパフォーマンス最適化 • フロントエンドでの動的UI制御（時間ないので付録で） • 品質向上への取り組み（時間ないので付録で）

Copyright© M&Aクラウド権限チェック処理の責務分離とテスト容易性の向上 40 初期の課題: 複雑化するMiddleware • Middlewareの肥⼤化 • ロジックの複雑化
• テストの困難さといった課題が発⽣

Copyright© M&Aクラウド権限チェック処理の責務分離とテスト容易性の向上 41 解決策：権限チェック処理の責務分解 • Middlewareは「リクエストの受付」「Checkerへの処理委譲」に専念 • PermissionChecker: ◦
オブジェクトの属性を解釈し、Casbinへの問い合わせ内容を組み⽴てる司令塔 • EnforcerAdapter: ◦ Casbinのenforceメソッドを呼び出すだけの、シンプルな橋渡し役

Copyright© M&Aクラウド属性ベースアクセス制御 (ABAC) の実現 47 課題: 「⾃分が担当者の案件か？」で権限が変わる RBACだけでは「⾃分が担当者の案件だけ編集できる」といった、データの中⾝を⾒ないと判断できない動的な条件に対応できない。。。
このオブジェクト固有の判定ロジックを、どうスッキリ実装するかが最⼤の課題でした。

Copyright© M&Aクラウド解決策: オブジェクト固有の「権限判定ロジック」をカプセル化 48 そこで「ObjectIdentiﬁer」という新しい責務を導⼊しました。 ▪ ObjectIdentiﬁerの役割オブジェクトに関する情報を収集し、その属性に応じて適切な権限スコープ（例:
ALL, OWN）を決定するクラスです。オブジェクト固有の複雑なロジックを、このクラスにすべて閉じ込めます。

Copyright© M&Aクラウドデータフィルタリングとパフォーマンス最適化 54 課題: 1万件のデータで破綻する⼀覧表⽰ ❌ DBから全件取得するため、データ量に応じて遅くなる。 ❌ 正しいページネーションが実装できない。（
2ページ目を表示するためだけに、また全件取得と全件チェックが必要）

Copyright© M&Aクラウド STEP③: そして、これがWHERE句を動的に組み⽴てる⼼臓部！ 62 Contextから受け取った権限ポリシーに応じて、 Laravel のクエリビルダを使い、最適な WHERE句を動的に組み立てています。
これにより、DBへの問い合わせを最小限に抑えることができる！

Copyright© M&Aクラウド複雑な権限を「スッキリ解きほぐす」ために 64 本⽇は、20万近い組み合わせパターンから始まった、複雑な権限要件という「絡まった⽷」に、私たちがどう⽴ち向かったかをお話ししました。この⽷を「スッキリ解きほぐす」ための答えは、魔法のような特効薬ではありませんでした。それは、「徹底的に『分ける』」ことと「正しく『繋ぐ』」こと。この2つの地
道な原則の積み重ねにありました。

Copyright© M&Aクラウド Step 1：徹底的に「分けて」考える 65 巨⼤で捉えどころのない問題を、扱えるサイズに「分け」ていきました。 • 要件を「分けて」可視化する ◦ 権限要件を5軸に分け、課題の⼤きさを数値で明確に
• モデルを「分けて」シンプルにする ◦ 当初⼀体化して失敗した「オブジェクト」と「スコープ」を分離 • 問題発覚時の迅速な⽅向転換 ◦ 肥⼤化したMiddlewareを「⾨番」「司令塔」「専⾨家」に分け、各クラスが単⼀責務を持つように設計

Copyright© M&Aクラウド Step 2：正しく「繋いで」動かす 66 次に、分離したコンポーネントを、あるべき姿に「繋ぎ」合わせました。 • 強⼒なエンジンで「繋ぐ」 ◦ 分離した権限ルールを、Casbinというエンジンで繋ぎ、判定ロジック
のコアをシンプルに保ちました • 疎なインターフェースで「繋ぐ」 ◦ ObjectIdentiﬁerなど、各クラスをインターフェースで疎に繋ぐことで、拡張性とテスト容易性を両⽴ • Contextでレイヤー間を「繋ぐ」 ◦ PermissionContextを導⼊し、MiddlewareとRepositoryという異なる関⼼事を疎に繋ぎ、DBへの権限フィルター移譲を実現

Copyright© M&Aクラウド想定Q&A 70 • Q: ⽐較検討したライブラリは他には何があったのか？ • Q: 全体の流れを把握したいです
• Q: キャッシュ戦略は？ • Q: フロントエンドでの権限制御は？ • Q: 品質向上の取り組みは？

Copyright© M&Aクラウド Q: ⽐較検討したライブラリは他には何があったのか？ 71 ライブラリモデル対応主な対象⾔語⻑所短所
適合度 Casbin ACL / RBAC / ABAC / 任意拡張 Go (core) 他に PHP, Java, Node など 10 以上マルチモデル‧軽量組込‧⾼性能；PHP バインディングあり DSL 構⽂が独特で学習コストやや⾼ ◎（採⽤） Laravel Policy & Gate ACL（基本的なアクセス制御） PHP / Laravel 標準機能追加パッケージ不要 ‧学習コスト低 ‧Eloquentモデルとの親和性⾼複雑なRBAC/ABAC不可‧階層的権限管理困難‧⼤規模権限管理には機能不⾜ △（基本的な権限管理のみ） Spatie laravel-permission RBAC（ロール＋パーミッション） PHP / Laravel Laravel Gate との親和性∕学習コスト低 ABAC不可‧階層/属性表現が弱い ◦（Laravel 単体なら⼿軽） Bouncer RBAC + きめ細かい "ability" 概念 PHP / Laravel 否定権限・モデル単位許可など表現力高 ABAC不可・階層/属性表現が弱い ◦（Laravel 単体なら手軽） Oso / Oso Cloud RBAC / ABAC / ReBAC（Polar DSL） Node, Go, Rust, Python, Java ほか "Polar" DSL が可読性高い・クラウド/ローカル混在可 PHP バインディング無し、SaaS 料金高め △（言語制約）

Copyright© M&Aクラウド Q: キャッシュ戦略は？ 73 • バックエンドでは、利⽤していない。 ◦ 権限機能はセキュリティが重要であり、キャッシュは正しく実装しないと漏洩のリスクが伴うため、現時点では利⽤していない
◦ パフォーマンス最適化のためにいずれ利⽤する可能性はある • フロントエンドでは、利⽤している。 ◦ コンポーネントの表⽰判定のために、権限データを毎回バックエンドにリクエストしていては、パフォーマンスに影響するため ◦ もし意図しないコンポーネントを表⽰してしまっても、バックエンドで防ぐことができるので、リスクは少ない

Copyright© M&Aクラウド Q: フロントエンドでの制御は？ 74 A. 制御しています。なぜ制御しているのか？：UXを損なう不適切なUI表⽰になるため • バックエンドで権限エラーになる前に、ユーザーに「できないこと」を明⽰
することで、UXを向上させたい • しかし、UIの表⽰制御ロジックがフロントエンドに散らばったり、バックエンドの権限ロジックと乖離するリスクがある

Copyright© M&Aクラウド Q: フロントエンドでの権限制御は？ 75 解決策：権限APIとクライアントサイドでの制御 • 特定の操作（「編集」「削除」「新規作成」など）に対して現在のユーザーが権限を持っているか否かを返すAPIエンドポイントを⽤意 •
フロントエンド（SvelteKitなど）がこのAPIを呼び出し、その結果に基づいてUI要素（ボタン、メニュー、フォームフィールドなど）を動的に⾮表⽰化、⾮アクティブ化、または表⽰する

Copyright© M&Aクラウドフロントエンド権限制御設計のポイント 76 • セキュリティ ◦ フロントエンド：UI制御のみ ◦ バックエンド：実際のセキュリティ担保
• パフォーマンス ◦ ポリシーキャッシングで⾼速化 ◦ 重複リクエストの防⽌ • 保守性 ◦ コンポーネントベースで再利⽤可能 ◦ 宣⾔的な権限制御

Copyright© M&Aクラウド usePermissionCheck：権限チェックの中核ロジック 81 ポリシーマッチング • 単一・複数権限チェック対応 • フィーチャーフラグによる機能制御 •
ワイルドカード（ *）によるフレキシブルなマッチング

Copyright© M&Aクラウド Policy Store：パフォーマンスを重視したポリシー管理 83 ストア構造キャッシング戦略 • Svelteストアベースの状態管理 •
インメモリキャッシングでパフォーマンス向上 • 重複リクエストの防止 • SSR対応

Copyright© M&Aクラウド DoD（Deﬁnition of Done）チェックリスト 84 コンポーネント Unit DB Integration
Feature 新規Object追加時 ObjectIdentifier実装 ✅ ーー ✅ 新規作成 SQLフィルタリングー ✅ ー ✅ 更新 APIエンドポイントーー ✅ ✅ 更新

Copyright© M&Aクラウド Q: 品質向上の取り組みは？ 85 • ⽬的: 実装の⼿間や抜け漏れを防ぐための包括的アプローチ • 3つの柱
◦ テスト戦略 ▪ テストピラミッドによる効率的なテスト設計 ◦ DoD（Deﬁnition of Done）チェックリスト ▪ 新規権限対象追加時の必須項⽬ ◦ ⽣成AI活⽤による効率化 ▪ テンプレートクラスの⾃動⽣成

Copyright© M&Aクラウド DoD（Deﬁnition of Done）チェックリスト 86 • アジャイル開発でのDoD運⽤体制 ◦ PBI完了条件:
JIRAのPBIにDoD条件を明記 ◦ チームルール: DoD未達成のPBIはDone扱いしない

Copyright© M&Aクラウド参考資料 • casbin：https://casbin.org/ja • php-casbin：https://github.com/php-casbin/php-casbin • コード画像化ツール：https://chalk.ist/ •
Mermaidツール：https://mermaid.live/

『自分のデータだけ見せたい！』を叶える──Laravel × Casbin で複雑権限をスッキ...

『自分のデータだけ見せたい！』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分

More Decks by AkitoTsukahara

Other Decks in Programming

Featured

Transcript

『自分のデータだけ見せたい！』を叶える──Laravel × Casbin で複雑権限をスッキリ解きほぐす 25 分