第26回: JWTによる認証 — ステートレスな「自己完結するトークン」の仕組み
複数サーバーで負荷分散するAPIや、モバイルアプリとWeb API間の認証では、サーバー側にセッションを持つと状態管理が複雑になります。「どのサーバーがセッションを持っているか」を共有するためにRedisやスティッキーセッションが必要になるからです。
Category
カテゴリー: 応用編
第25回: 認証付きAPI(APIトークン) — 「誰がリクエストしているか」をSanctumで確認する
/api/users エンドポイントを作ったとき、認証がなければ世界中の誰でもアクセスできてしまいます。ユーザーデータや機密情報を扱うAPIには必ず「このリクエストは誰から来ているか」を確認する仕組みが必要です。
第24回: リクエストバリデーション設計 — 「不正なデータはAPIの入口で止める」
if (empty($request->title)) { return error(); } をコントローラに書き続けると、バリデーションロジックが散らばり、テストも困難になります。複数のエンドポイントで同じルールが重複し、変更のたびに複数箇所を修正しなければなりません。
第23回: HTTPステータスコードの使い方 — 「全部200」は嘘のAPIになる
エラーがあっても { “success”: false } を200で返すAPIがあります。クライアントはHTTPステータスだけでは「成功か失敗か」が分からず、常にJSONのパースが必要になります。
第22回: JSONレスポンス設計 — 成功とエラーの「構造を統一」してフロントを助ける
成功時は { “user”: {…} }、エラー時は { “msg”: “error” }、別のエンドポイントでは { “result”: “OK” } ——。
第21回: REST設計の基本 — 「直感的に使えるAPI」はURLとメソッドの選び方で決まる
URLにアクション名を含めるAPI設計は、慣れれば作れても「APIを使う側」にとっては覚えるルールが増えるだけです。
第20回: 論理削除とソフトデリート — データを「消す」のではなく「隠す」設計
ユーザーが投稿を削除したあと、「やっぱり復元したい」と言われたら?法的な理由でデータを保持しなければならない場合は?物理削除(レコードの完全消去)は取り返しがつきません。
第19回: Seederとテストデータ管理 — 「誰でも同じ初期データ」で開発を安定させる
開発者Aはユーザーを手動で5件登録している。開発者BはDB初期化後に1件しかない。CI環境には何もない——。こうした「環境ごとのデータ差異」がテスト結果の不一致や、動作確認の手戻りを引き起こします。
第18回: Eloquentスコープとキャスト — 条件と型変換を「モデルに集める」
コントローラAでも、サービスクラスBでも、同じ ->where(‘status’, ‘published’) を繰り返し書いていませんか?もし「公開済み」の定義が変わったら、すべての箇所を変更しなければなりません。
第17回: Eloquentリレーション — テーブルの「関係」をコードで表現する
投稿の著者を取得するたびに WHERE id = ? を書くのは非効率です。Eloquentのリレーションを使えば、$post->user->name と書くだけで関連データを取得できます。