コードリーディング | きいちログ

【Laravel】Laravel SanctumがCSRFトークンの検証で何やってるかをちゃんと理解する

むらおか — Thu, 19 Dec 2024 14:41:21 +0000

この記事は Laravel Advent Calendar 2024 19日目の投稿です。

Laravel - Qiita Advent Calendar 2024 - Qiita

Calendar page for Qiita Advent Calendar 2024 regarding Laravel.

Laravel Sanctum が簡単な認証システムを提供してくれるのは良く知られているんですが、認証に関する面倒なことを考えずに済む程度には抽象化されてしまっていて、裏で何をやっているのかを考えたことがありませんでした。

今回はそんな Laravel Sanctum が CSRF トークンの検証で何をやっているのかを追っていこうと思います。

Laravel Sanctum のインストールについては公式ドキュメントに記載があります。詳細はそちらを御覧ください。

Laravel Sanctum - Laravel 11.x - The PHP Framework For Web Artisans

Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...

Middleware
VerifyCsrfToken
1. CSRFトークンの検証
2. CSRFトークンの付与
まとめ

Middleware

Sanctum インストール時に bootstrap/app.php に以下の記述を追加したと思います。

->withMiddleware(function (Middleware $middleware) {
    $middleware->statefulApi();
})

これは、特定のミドルウェアの有効化フラグを true にします。

/**
 * Indicate that Sanctum's frontend state middleware should be enabled.
 *
 * @return $this
 */
public function statefulApi()
{
    $this->statefulApi = true;

    return $this;
}

ここが true になっていると、api ミドルウェアグループを利用してるエンドポイントは EnsureFrontendRequestsAreStateful というミドルウェアを通るようになります。

/**
 * Get the middleware groups.
 *
 * @return array
 */
public function getMiddlewareGroups()
{
    $middleware = [
        'web' => array_values(array_filter([
            \Illuminate\Cookie\Middleware\EncryptCookies::class,
            \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
            \Illuminate\Session\Middleware\StartSession::class,
            \Illuminate\View\Middleware\ShareErrorsFromSession::class,
            \Illuminate\Foundation\Http\Middleware\ValidateCsrfToken::class,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
            $this->authenticatedSessions ? 'auth.session' : null,
        ])),
        'api' => array_values(array_filter([
            $this->statefulApi ? \Laravel\Sanctum\Http\Middleware\EnsureFrontendRequestsAreStateful::class : null,
            $this->apiLimiter ? 'throttle:'.$this->apiLimiter : null,
            \Illuminate\Routing\Middleware\SubstituteBindings::class,
        ])),
    ];
(省略)
}

EnsureFrontendRequestsAreStateful では複数のミドルウェアを通していますが、ほとんどがセッションにまつわるミドルウェアで web ミドルウェアグループで定義されているミドルウェアとほぼ同じです。

/**
 * Handle the incoming requests.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  callable  $next
 * @return \Illuminate\Http\Response
 */
public function handle($request, $next)
{
    $this->configureSecureCookieSessions();

    return (new Pipeline(app()))->send($request)->through(
        static::fromFrontend($request) ? $this->frontendMiddleware() : []
    )->then(function ($request) use ($next) {
        return $next($request);
    });
}

(省略)

/**
 * Get the middleware that should be applied to requests from the "frontend".
 *
 * @return array
 */
protected function frontendMiddleware()
{
    $middleware = array_values(array_filter(array_unique([
        config('sanctum.middleware.encrypt_cookies', \Illuminate\Cookie\Middleware\EncryptCookies::class),
        \Illuminate\Cookie\Middleware\AddQueuedCookiesToResponse::class,
        \Illuminate\Session\Middleware\StartSession::class,
        config('sanctum.middleware.validate_csrf_token', config('sanctum.middleware.verify_csrf_token', \Illuminate\Foundation\Http\Middleware\VerifyCsrfToken::class)),
        config('sanctum.middleware.authenticate_session'),
    ])));

    array_unshift($middleware, function ($request, $next) {
        $request->attributes->set('sanctum', true);

        return $next($request);
    });

    return $middleware;
}

その中から今回見ていくのは、VerifyCsrfToken になります。

VerifyCsrfToken

では、VerifyCsrfToken を見ていきます。

CSRFトークンの検証

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 *
 * @throws \Illuminate\Session\TokenMismatchException
 */
public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return tap($next($request), function ($response) use ($request) {
            if ($this->shouldAddXsrfTokenCookie()) {
                $this->addCookieToResponse($request, $response);
            }
        });
    }

    throw new TokenMismatchException('CSRF token mismatch.');
}

VerifyCsrfToken では、まず検証の対象外かどうかを判定するために以下を走査しています。

HTTP リクエストのメソッドが HEAD, GET, OPTIONS のいずれかかどうか
コンソールで実行されているかどうか
- APP_RUNNING_IN_CONSOLE
- SAPI が cli または phpdbg
ユニットテストで実行されているかどうか
- APP_ENV が testing
除外対象 URI かどうか
- Excluding URIs From CSRF Protection

検証の対象だった場合は、リクエストされた CSRF トークンの整合性を検証します。

/**
 * Determine if the session and input CSRF tokens match.
 *
 * @param  \Illuminate\Http\Request  $request
 * @return bool
 */
protected function tokensMatch($request)
{
    $token = $this->getTokenFromRequest($request);

    return is_string($request->session()->token()) &&
            is_string($token) &&
            hash_equals($request->session()->token(), $token);
}

ここでは、まずリクエストからトークンを取得します。フォームからのリクエストなどでボディに、_token があればそれを利用し、なければヘッダから X-CSRF-TOKEN または X-XSRF-TOKEN を取得します。
そして、そのトークンとサーバー側のセッションストレージに保存されているトークンを比較しています。この検証に失敗すると、TokenMismatchException が投げられ、ステータスコード 419 でレスポンスが返される、ということになります。

CSRFトークンの付与

CSRF トークンは Set-Cookie レスポンスヘッダで付与されます。これも VerifyCsrfToken でやっています。

/**
 * Handle an incoming request.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Closure  $next
 * @return mixed
 *
 * @throws \Illuminate\Session\TokenMismatchException
 */
public function handle($request, Closure $next)
{
    if (
        $this->isReading($request) ||
        $this->runningUnitTests() ||
        $this->inExceptArray($request) ||
        $this->tokensMatch($request)
    ) {
        return tap($next($request), function ($response) use ($request) {
            if ($this->shouldAddXsrfTokenCookie()) {
                $this->addCookieToResponse($request, $response);
            }
        });
    }

    throw new TokenMismatchException('CSRF token mismatch.');
}

(省略)

/**
 * Add the CSRF token to the response cookies.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  \Symfony\Component\HttpFoundation\Response  $response
 * @return \Symfony\Component\HttpFoundation\Response
 */
protected function addCookieToResponse($request, $response)
{
    $config = config('session');

    if ($response instanceof Responsable) {
        $response = $response->toResponse($request);
    }

    $response->headers->setCookie($this->newCookie($request, $config));

    return $response;
}

(省略)

/**
 * Create a new "XSRF-TOKEN" cookie that contains the CSRF token.
 *
 * @param  \Illuminate\Http\Request  $request
 * @param  array  $config
 * @return \Symfony\Component\HttpFoundation\Cookie
 */
protected function newCookie($request, $config)
{
    return new Cookie(
        'XSRF-TOKEN',
        $request->session()->token(),
        $this->availableAt(60 * $config['lifetime']),
        $config['path'],
        $config['domain'],
        $config['secure'],
        false,
        false,
        $config['same_site'] ?? null,
        $config['partitioned'] ?? false
    );
}

ここでは、XSRF-TOKEN でセッショントークンを返すようにしています。

まとめ

Laravel Sanctum インストールの手順を行うと、api ミドルウェアグループでセッションの検証ができるようになる
CSRF トークンの検証は、VerifyCsrfToken ミドルウェアで行っている
- 対象でなければ検証しない
- 対象であればトークンとセッションデータを比較する
CSRF トークンは Set-Cookie レスポンスヘッダに XSRF-TOKEN を付与している

【WordPress】ACFのJavaScript APIを使ってselect2フィールドをカスタマイズする

むらおか — Tue, 02 Jul 2024 08:43:24 +0000

WordPress のカスタムフィールドのプラグインである ACF (Advanced Custom Fields) には、多数のフックや JavaScript API が用意されています。

ACF | Resources, Documentation, API, How to & Tutorial Articles

Discover code, documentation and ideas in this comprehensive resource section. Find everything from Getting Started, Fie...

ACF | JavaScript API

Learn how to use ACF's JavaScript library including functions, actions and filters and models.

やること
準備
コーディング
まとめと感想

やること

今回は、JavaScript API とフックの組み合わせで select2 フィールドをカスタマイズしてみます。具体的には、投稿のプルダウンをラジオボタンで選択したカテゴリーのみに絞って表示させる、ということをやってみます。

準備

ACF でカテゴリーのラジオボタンと投稿のプルダウンを用意します。表示する条件は固定ページにしておきます。

このときの各フィールドのキー (field_667d1f74494c8 や field_667d1d6343e57) を控えておきます。

また、初期データとして、投稿とカテゴリーをいくつか用意しておきます。

投稿のプルダウンをクリックすると、全ての投稿が選択肢として表示されます。

コーディング

select2 フィールドのプルダウンはクリックの都度、Ajax 通信で表示する選択肢を取得しています。この Ajax のリクエストに介入する JavaScript のフックに select2_ajax_data というのが用意されています。

ACF | JavaScript API

Learn how to use ACF's JavaScript library including functions, actions and filters and models.

getAjaxData: function (params) {
  // vars
  var ajaxData = {
    action: this.get('ajaxAction'),
    s: params.term || '',
    paged: params.page || 1
  };

  // field helper
  var field = this.get('field');
  if (field) {
    ajaxData.field_key = field.get('key');
    if (field.get('nonce')) {
      ajaxData.nonce = field.get('nonce');
    }
  }

  // callback
  var callback = this.get('ajaxData');
  if (callback) {
    ajaxData = callback.apply(this, [ajaxData, params]);
  }

  // filter
  ajaxData = acf.applyFilters('select2_ajax_data', ajaxData, this.data, this.$el, field || false, this);

  // return
  return acf.prepareForAjax(ajaxData);
},

このフックを使ってラジオボタンで選択されたカテゴリーの情報を POST に追加するようにします。適当な JS ファイルに以下の記述をします。

// 素の JS
acf.add_filter('select2_ajax_data', function (data, args, $input, field, instance) {
    if ('field_667d1d6343e57' !== data.field_key) {
        // 投稿のプルダウンでなければ何もしない
        return data;
    }

    // カテゴリーのラジオボタンで選択された value を取得する
    const selectedCat = document.querySelector('input[name="acf[field_667d1f74494c8]"]:checked');
    if (selectedCat) {
        data.cat = selectedCat.value;
    }
    return data;
});

// jQuery
jQuery(document).ready(function ($) {
    acf.add_filter('select2_ajax_data', function (data, args, $input, field, instance) {
        if ('field_667d1d6343e57' !== data.field_key) {
            return data;
        }
        const $selectedCat = $('input[name="acf[field_667d1f74494c8]"]:checked');
        if ($selectedCat) {
            data.cat = $selectedCat.val();
        }
        return data;
    });
});

フィールド作成時に控えておいたキーはユニークになっているので、セレクタとして使用しています。

次に、PHP 側のフックを使って、作成した JS ファイルの enqueue を行います。注意点として、ACF の JavaScript API を利用するには、ハンドル名 acf-input があらかじめ読み込まれている必要があるので、引数に追加するのを忘れないようにします。

add_action('admin_enqueue_scripts', function ($hook_suffix) {
    if ('post.php' === $hook_suffix || 'post-new.php' === $hook_suffix) {
        wp_register_script('acf-js-api-usage', plugin_dir_url(__FILE__) . '/acf-js-api-usage.js', ['acf-input']);
        wp_enqueue_script('acf-js-api-usage');
    }
});

PHP 側では POST したカテゴリー情報をハンドリングする処理も必要です。ACF で、acf/fields/post_object/query/key={$key} というフックが用意されているので、これを利用します。

ACF | acf/fields/post_object/query

Filters the $args used to query posts in the Post Object field.

add_filter('acf/fields/post_object/query/key=field_667d1d6343e57', function($args, $field, $post_id) {
    $args['cat'] = $_POST['cat'];
    return $args;
}, 10, 3);

このフィルターフックで返却する $args は最終的に WP_Query の引数になります。今回はカテゴリーで絞り込むので、POST した値を $args['cat'] に代入します。

画面を確認してみると、ラジオボタンで選択したカテゴリーの投稿のみが表示されていることがわかります。

まとめと感想

今回、ACF のコードを数年ぶりに読みました。私にとって、WordPress のプラグインの中では読みやすい部類だと感じました。ドキュメントもしっかりメンテされている (と思っている) ので、迷子になることもなかったです。

ACF の JavaScript API とフックは、設定画面では出来ないようなフィールドの複雑なカスタマイズやフィールドの表示条件を動的に変更することが出来るので、わりと便利な機能だと思っています。ただ、認知度が低い気がします。日本語の記事もほとんど見当たらなかったですし。だいぶニッチな機能なので仕方ないと言えばそうなのですが。。

【Laravel】laravel-modulesでmiddlewareの登録をする

むらおか — Tue, 25 Jun 2024 13:34:06 +0000

Laravel で手っ取り早くモジュラモノリスやるときは laravel-modules を良く使います。

GitHub - nWidart/laravel-modules: Module Management In Laravel

Module Management In Laravel. Contribute to nWidart/laravel-modules development by creating an account on GitHub.

Modules 配下に各モジュールを配置しているためファイルがモジュール毎にまとまっており、内部設計的にはシンプルでわかりやすいと思います。ただし、モジュール間でファイルを相互に参照出来るので、依存関係の検証は別の仕組みでなんとかする必要があります。

今回は、laravel-modules でモジュール内に作成した middleware を登録する方法をまとめてみます。

準備
bootstrap/app.php で登録する
RouteServiceProvider で登録する

準備

Laravel と laravel-modules をインストールしておきます。今回は両方とも11です。

$ composer create-project laravel/laravel .
$ composer require nwidart/laravel-modules

忘れがちな設定ですが、extra セクションに merge-plugin を追加します。

"extra": {
    "laravel": {
        "dont-discover": []
    },
    "merge-plugin": {
        "include": [
            "Modules/*/composer.json"
        ]
    }
},

適当な名前のモジュールと middleware を作っておきます。middleware は artisan コマンドを使うと簡単に生成出来ます。

Redirecting to https://laravelmodules.com/docs/1/v11/artisan-commands

$ php artisan module:make Posts
$ php artisan module:make-middleware PostsMiddleware Posts

作成した middleware に適当な処理を追加しておきます。





bootstrap/app.php で登録する



middleware は bootstrap/app.php の withMiddleware セクション内で登録するのが正攻法です。




Middleware - Laravel 11.x - The PHP Framework For Web Artisans
Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...
laravel.com



withRouting(
        web: __DIR__.'/../routes/web.php',
        commands: __DIR__.'/../routes/console.php',
        health: '/up',
    )
    ->withMiddleware(function (Middleware $middleware) {
        // グローバルミドルウェアで登録
        $middleware->append(\Modules\Posts\Http\Middleware\PostsMiddleware::class);

        // ミドルウェアグループに登録
        $middleware->appendToGroup('group', [\Modules\Posts\Http\Middleware\PostsMiddleware::class]);

        // エイリアスとして登録
        $middleware->alias(['post' => \Modules\Posts\Http\Middleware\PostsMiddleware::class ]);
    })
    ->withExceptions(function (Exceptions $exceptions) {
        //
    })->create();




以下のようなルートを用意して GET リクエストを投げてみます。



middleware('post');

Route::middleware(['group'])->group(function() {
    Route::get( '/posts/group', function() {
        return '(group)';
    });
});



$ curl http://localhost:8000/posts/global
Hello, world!! (global)%

$ curl http://localhost:8000/posts/alias 
Hello, world!! Hello, world!! (alias)%

$ curl http://localhost:8000/posts/group
Hello, world!! Hello, world!! (group)%



alias と group はグローバルミドルウェアと重複して登録しているので2回出力がありますが、ちゃんと動いていることが確認出来ます。



ただし、グローバルミドルウェアとして登録されているので、モジュール配下のルート以外で定義されたルートでも当該 middleware は適用されてしまいます。この点だけは注意が必要です。







$ curl http://localhost:8000/global     
Hello, world!! (global common)%



RouteServiceProvider で登録する



別の方法として、RouteServiceProvider に記述することも出来ます。



この RouteServiceProvider は Illuminate\Foundation\Support\Providers\RouteServiceProvider クラスを継承しており、register 内で map メソッドを呼び出します。



/**
 * Register any application services.
 *
 * @return void
 */
public function register()
{
    $this->booted(function () {
        $this->setRootControllerNamespace();

        if ($this->routesAreCached()) {
            $this->loadCachedRoutes();
        } else {
            $this->loadRoutes();

            $this->app->booted(function () {
                $this->app['router']->getRoutes()->refreshNameLookups();
                $this->app['router']->getRoutes()->refreshActionLookups();
            });
        }
    });
}

/**
 * Load the application routes.
 *
 * @return void
 */
protected function loadRoutes()
{
    if (! is_null(self::$alwaysLoadRoutesUsing)) {
        $this->app->call(self::$alwaysLoadRoutesUsing);
    }

    if (! is_null($this->loadRoutesUsing)) {
        $this->app->call($this->loadRoutesUsing);
    } elseif (method_exists($this, 'map')) {
        $this->app->call([$this, 'map']);
    }
}



RouteServiceProvider の map メソッド内では、web 及び api ルートに関する定義がされているので、ここで middleware の登録をすると良さそうです。今回はエイリアスを登録して web ルートに適用してみます。



mapApiRoutes();

        $this->mapWebRoutes();
    }

    /**
     * Define the "web" routes for the application.
     *
     * These routes all receive session state, CSRF protection, etc.
     */
    protected function mapWebRoutes(): void
    {
        Route::middleware(['web', 'post'])->group(module_path('Posts', '/routes/web.php'));
    }

    /**
     * Define the "api" routes for the application.
     *
     * These routes are typically stateless.
     */
    protected function mapApiRoutes(): void
    {
        Route::middleware('api')->prefix('api')->name('api.')->group(module_path('Posts', '/routes/api.php'));
    }
}




GET リクエストを投げてみます。



$ curl http://localhost:8000/posts/global
Hello, world!! (global)%



middleware が適用されていました。モジュール内で作成した middleware をモジュール内で閉じたい場合はこの方法が良さそうな気がします。



ただし、モジュール配下の RouteServiceProvider 内で登録した middleware のエイリアスはモジュール外でも使えるということと、モジュール外で使った場合、当該モジュールが disabled だとエイリアスが見つからず500エラーを返してしまう点は注意が必要です。



middleware('post');



{
    "Posts": false
}



$ curl -I  http://localhost:8000/global
HTTP/1.1 500 Internal Server Error



【Laravel】preventAccessingMissingAttributesの挙動+おまけ
むらおか — Fri, 31 May 2024 08:27:44 +0000


  目次
    
    preventAccessingMissingAttributesの挙動
おまけ
    
  

preventAccessingMissingAttributesの挙動



Laravel の Eloquent を利用してデータを取得する場合、特に列の指定がなければすべての列情報を取得してきます。



$user = User::find(1);

// App\Models\User {
//    id: 5,
//    name: "kiichiro",
//    email: "kiichiro@example.com",
//    email_verified_at: "2024-05-28 06:44:34",
//    password: "$2y$12$jJuJzdMPZ/gSwVSp3DzNE.1SwACJGqPLsWLWP3HGUZRhP1Q/9zJs2",
//    remember_token: "KjmFVc1rUZ",
//    created_at: "2024-05-28 06:44:35",
//    updated_at: "2024-05-28 06:51:32",
// }



列の指定があれば指定された列情報のみを取得します。



$user = User::select(['id', 'name'])->find(1);

// App\Models\User {
//     id: 1,
//     name: "kiichiro",
// }




このとき、取得しなかったプロパティへのアクセスが発生すると、null を返します。



$user->email; // null



この挙動故に、アクセスしたプロパティをそもそも取得していないのか、取得した上で null なのかが判断出来ず、バグになってしまうのはよくある話ですね。



これを解決するには AppServiceProvider に Model::preventAccessingMissingAttributes を呼び出すと良いらしいです。



public function boot(): void
{
    Model::preventAccessingMissingAttributes();
}



取得していないプロパティへのアクセスが発生した場合は MissingAttributeException を投げてくれます。



$user = User::select(['id', 'name'])->find(1);
$user->email;

// Illuminate\Database\Eloquent\MissingAttributeException  The attribute [email] either does not exist or was not retrieved for model [App\Models\User].



ただし、列情報を取得していなくても動的プロパティとしてセットしたり、fill でプロパティを埋めた場合はこの例外は投げられません。



$user = User::select(['id', 'name'])->find(1);
$user->email = 'kiichiro@example.com';
$user->email;
// 'kiichiro@example.com'

$user = User::select(['id', 'name'])->find(1);
$user->fill(['email' => 'kiichiro@example.com']);
$user->email;
// 'kiichiro@example.com'



プロパティへのアクセスは基本的に attributes という配列のキーに相当するものがあるかどうかを判別しています。判別の結果、attributes になければ MissingAttributeException を投げ、attributes にあればその値を返します。よって、動的プロパティとしてセットした場合は attributes にあるので値がそのまま返ってくるということのようです。



/**
 * Dynamically retrieve attributes on the model.
 *
 * @param  string  $key
 * @return mixed
 */
public function __get($key)
{
    return $this->getAttribute($key);
}

/**
 * Get an attribute from the model.
 *
 * @param  string  $key
 * @return mixed
 */
public function getAttribute($key)
{
    if (! $key) {
        return;
    }

    // If the attribute exists in the attribute array or has a "get" mutator we will
    // get the attribute's value. Otherwise, we will proceed as if the developers
    // are asking for a relationship's value. This covers both types of values.
    if ($this->hasAttribute($key)) {
        return $this->getAttributeValue($key);
    }

    // Here we will determine if the model base class itself contains this given key
    // since we don't want to treat any of those methods as relationships because
    // they are all intended as helper methods and none of these are relations.
    if (method_exists(self::class, $key)) {
        return $this->throwMissingAttributeExceptionIfApplicable($key);
    }

    return $this->isRelation($key) || $this->relationLoaded($key)
                ? $this->getRelationValue($key)
                : $this->throwMissingAttributeExceptionIfApplicable($key);
}

/**
 * Determine whether an attribute exists on the model.
 *
 * @param  string  $key
 * @return bool
 */
public function hasAttribute($key)
{
    if (! $key) {
        return false;
    }

    return array_key_exists($key, $this->attributes) ||
        array_key_exists($key, $this->casts) ||
        $this->hasGetMutator($key) ||
        $this->hasAttributeMutator($key) ||
        $this->isClassCastable($key);
}



おまけ



preventAccessingMissingAttributes は Laravel 9系で実装された機能なので、Laravel 9 の公式ドキュメントには記載があるのですが、なぜか10以降のドキュメントから削除されていました。




Eloquent: Getting Started - Laravel 9.x - The PHP Framework For Web Artisans
Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...
laravel.com




Eloquent: Getting Started - Laravel 10.x - The PHP Framework For Web Artisans
Laravel is a PHP web application framework with expressive, elegant syntax. We’ve already laid the foundation — freeing ...
laravel.com



どうやら以下のコミットで削除されたようです。




wip · laravel/docs@616edf4
The Laravel documentation. Contribute to laravel/docs development by creating an account on GitHub.
github.com



Eloquent ORM の機能を制限するガードレールとして設定したいという需要がありそうなので、ドキュメントの削除はミスかなと思ったのですが、同じようなことを思った人が既にいたようでプルリクエストが上がっていました。




[10.x] Adding Missing Content of `Configuring Eloquent Strictness` by devajmeireles · Pull Request #9260 · laravel/docs
I used 9.x as a base to include the missing content in 10.x
github.com



コメントに削除した理由についての言及がありました。




I don’t really like this feature so I removed it from the docs.
https://github.com/laravel/docs/pull/9260#issuecomment-1892644460



まあ、好みじゃないならしょうがないですよね。。



【Laravel】MacroableでPHPのオーバーロードを学ぶ
むらおか — Sat, 11 Mar 2023 15:49:20 +0000

PHPのオーバーロードを説明する上でLaravelのMacroableがちょうど良いと思ったので。



マクロについて



Laravel内部の一部のクラスには、独自に定義したメソッドを追加できる「マクロ」という機能が備わっています。



マクロを追加したいクラスにMacroableをuse宣言することによって、当該クラスにマクロを登録することが出来ます。
例えば Illuminate\Support\Collection はMacroableをuseしているので、以下のようにしてマクロの登録が行えます。



public function boot()
{
    Collection::macro('foo', function() {
        $this->map(function($value) {
            // 処理
        });
    });
}



よくあるマクロの使いどころとしては、Collection や Response といったFacadesに対して、汎用的に再利用したい処理がある場合などかと思っています。



このマクロはPHPのオーバーロードを利用して実現されています。



オーバーロードについて



PHPにおけるオーバーロードとは、プロパティやメソッドを動的に作成する手法であり、マジックメソッドを利用します。また、オーバーロードメソッドは宣言されていないプロパティやメソッドが呼び出された際に起動します。




PHP: オーバーロード - Manual
オーバーロード
www.php.net



未宣言のメソッドに関しては __call というマジックメソッドを用意しておくことで起動出来ます (staticは __callStatic )。



// __callを宣言していないクラス
class Bar {}

$bar = new Bar();
$bar->bar(); // PHP Fatal error:  Uncaught Error: Call to undefined method Bar::bar()

// __callを宣言したクラス
class Foo {
    public function __call($method, $parameters) {
        echo 'Method: ' . $method;
    }
}

$foo = new Foo();
$foo->foo(); // Method: foo



また、同名で引数の型や数の異なるメソッドを宣言する(一般的な)オーバーロードとは解釈が異なります。



コードリーディング



実際に以下の流れでコードを見ていきます。




マクロを登録する



マクロを呼び出す





  目次
    
    マクロを登録する
マクロを呼び出す
    
  

マクロを登録する



まずはマクロの登録時の処理を見ていきます。登録時の処理はMacroableに定義されています。



登録時に呼び出すmacroメソッドですが、第一引数の呼び出す際のメソッド名をkeyに、第二引数のクロージャを valueとして $macro というプロパティに詰め込んでいます。



/**
 * The registered string macros.
 *
 * @var array
 */
protected static $macros = [];

/**
 * Register a custom macro.
 *
 * @param  string  $name
 * @param  object|callable  $macro
 * @return void
 */
public static function macro($name, $macro)
{
    static::$macros[$name] = $macro;
}



冒頭で例に上げたCollectionクラスは、Macroableをuseしていますので、 Collection::macro を呼び出すことで、$macro にメソッド名 foo とクロージャが登録されることになります。



public function boot()
{
    Collection::macro('foo', function() {
        $this->map(function($value) {
            // 処理
        });
    });
}



マクロを呼び出す



登録したマクロはメソッド名を -> または :: で呼び出すことで利用が出来ます。



// インスタンス化して呼び出す
collect()->foo();

// staticメソッドとして呼び出す
Collection::foo();



このとき、Collectionにfooメソッドは宣言されていないのでオーバーロードされ、該当するマジックメソッドが呼び出されます。



/**
 * Dynamically handle calls to the class.
 *
 * @param  string  $method
 * @param  array  $parameters
 * @return mixed
 *
 * @throws \BadMethodCallException
 */
public static function __callStatic($method, $parameters)
{
    if (! static::hasMacro($method)) {
        throw new BadMethodCallException(sprintf(
            'Method %s::%s does not exist.', static::class, $method
        ));
    }

    $macro = static::$macros[$method];

    if ($macro instanceof Closure) {
        $macro = $macro->bindTo(null, static::class);
    }

    return $macro(...$parameters);
}

/**
 * Dynamically handle calls to the class.
 *
 * @param  string  $method
 * @param  array  $parameters
 * @return mixed
 *
 * @throws \BadMethodCallException
 */
public function __call($method, $parameters)
{
    if (! static::hasMacro($method)) {
        throw new BadMethodCallException(sprintf(
            'Method %s::%s does not exist.', static::class, $method
        ));
    }

    $macro = static::$macros[$method];

    if ($macro instanceof Closure) {
        $macro = $macro->bindTo($this, static::class);
    }

    return $macro(...$parameters);
}



__call でも __callStatic でも概ねやっていることは同じで、




hasMacro で呼び出されたメソッド名がマクロとして登録されているか($macroに該当するメソッド名が存在するか)を検証する

存在しなければBadMethodCallExceptionをthrowする





クロージャをバインドする

__call : 呼び出されたメソッドを持つオブジェクトにクロージャをバインドする



__callStatic : バインドを解除する





当該メソッドを引き渡されたパラメータで実行する




という流れになります。



【Laravel】EloquentのsaveではCarbonオブジェクトをStringに変換している
むらおか — Tue, 27 Dec 2022 09:12:16 +0000


  目次
    
    はじめに
コードリーディングfill
save
おわりに
    
  

はじめに



Eloquentを利用すると、以下の①、②のどちらのパターンでも保存することが出来ます。



$foo = Foo::getModel();

// ①明示的にStringを渡す
$foo->fill([
    'datetime' => Carbon::now()->toDateTimeString(),
    'date'     => Carbon::now()->toDateString(),
])->save();

// ②Carbonオブジェクトのまま渡す
$foo->fill([
    'datetime' => Carbon::now(),
    'date'     => Carbon::now(),
])->save();



②では、datetime型のカラムに文字列ではなくCarbonオブジェクトを渡していますが、おそらくSQLを組み立てる際にキャストして文字列を組み立てているのだろうな、とは思っていました。



ただ、どちらでもOKというのが腑に落ちなかったので、該当箇所のコードリーディングをしてみます。



コードリーディング



fill



fillでは主に、「入力されたattributesがassignableであれば $attributes 配列(property)に詰め込む」という処理を行っています。




framework/src/Illuminate/Database/Eloquent/Model.php at 9.x · laravel/framework
The Laravel Framework. Contribute to laravel/framework development by creating an account on GitHub.
github.com



実際に詰め込んでいるのは、 HasAttributes traitです。




framework/src/Illuminate/Database/Eloquent/Concerns/HasAttributes.php at 9.x · laravel/framework
The Laravel Framework. Contribute to laravel/framework development by creating an account on GitHub.
github.com



$this->attributes[$key] = $value;



save



saveでは、fillで詰め込んだattributesを元にSQLを組み立て実行します。




framework/src/Illuminate/Database/Eloquent/Model.php at 9.x · laravel/framework
The Laravel Framework. Contribute to laravel/framework development by creating an account on GitHub.
github.com



途中は省略しますが、insert実行までの一連の処理を追っていくと、Connectionクラス の prepareBindings に到達します。



    /**
     * Prepare the query bindings for execution.
     *
     * @param  array  $bindings
     * @return array
     */
    public function prepareBindings(array $bindings)
    {
        $grammar = $this->getQueryGrammar();

        foreach ($bindings as $key => $value) {
            // We need to transform all instances of DateTimeInterface into the actual
            // date string. Each query grammar maintains its own date string format
            // so we'll just ask the grammar for the format to get from the date.
            if ($value instanceof DateTimeInterface) {
                $bindings[$key] = $value->format($grammar->getDateFormat());
            } elseif (is_bool($value)) {
                $bindings[$key] = (int) $value;
            }
        }

        return $bindings;
    }



ここまで引き渡してきたattributeの値が DateTimeInterface の実装である場合、フォーマットされた文字列で詰め込み直しています。Carbonは DateTimeInterface を実装しているので、ここまで来てようやく文字列に変換される、ということでした。



フォーマットは Grammerクラス に定義されている Y-m-d H:i:s になるようです。



    /**
     * Get the format for database stored dates.
     *
     * @return string
     */
    public function getDateFormat()
    {
        return 'Y-m-d H:i:s';
    }



ConnectionとGrammerクラスは、DB接続とSQLの構文を抽象化しており、databases.phpで指定しているdriverによって解決されるクラスが変わります。



おわりに



Carbonオブジェクトを渡した場合、SQLを組み立てる最終段階で文字列に変換されることが確認出来ました。Eloquentを利用する際はどちらを使っても仕様上は問題なさそうですね。



ちなみに created_at と updated_at のように自動的に挿入されるカラムはCarbonオブジェクトをそのまま attributes に突っ込んでいました。



    /**
     * Update the creation and update timestamps.
     *
     * @return $this
     */
    public function updateTimestamps()
    {
        $time = $this->freshTimestamp();

        $updatedAtColumn = $this->getUpdatedAtColumn();

        if (! is_null($updatedAtColumn) && ! $this->isDirty($updatedAtColumn)) {
            $this->setUpdatedAt($time);
        }

        $createdAtColumn = $this->getCreatedAtColumn();

        if (! $this->exists && ! is_null($createdAtColumn) && ! $this->isDirty($createdAtColumn)) {
            $this->setCreatedAt($time);
        }

        return $this;
    }



    /**
     * Get a fresh timestamp for the model.
     *
     * @return \Illuminate\Support\Carbon
     */
    public function freshTimestamp()
    {
        return Date::now();
    }



【WordPress】「永続オブジェクトキャッシュを使用してください」が気になったのでコアを覗いてみた
むらおか — Wed, 30 Nov 2022 16:50:14 +0000

はじめに



WordPress 6.1から、サイトヘルスステータスにて永続オブジェクトキャッシュの使用がレコメンドされるようになったようです。







こちらの対応としては、ホスティングプロバイダーが提供するキャッシュサーバーを確認し、 W3 Total Cache Plugin などのキャッシュ系プラグインを介してオブジェクトキャッシュを使用する設定を行う、ということになるようです。
https://ja.wordpress.org/support/article/optimization/#persistent-object-cache



気になったので、今回はサイトヘルスステータスで何をチェックしているかを見ていきます。



※オブジェクトキャッシュが何をしているか、というところまでは言及しません。



コードを読む




  目次
    
    コアコードを読む
プラグインのコードを読む
    
  

コアコードを読む



サイトヘルスステータスでテストする項目は WP_Site_Health::get_tests で列挙されています。
6.1から追加されたのは、 persistent_object_cache というテストです。



$tests['direct']['persistent_object_cache'] = array(
    'label' => __( 'Persistent object cache' ),
    'test'  => 'persistent_object_cache',
);



ここに列挙されているテストは get_test_ というprefixがついたfunctionとして用意されており、サイトヘルスステータスの画面を開くたびに実行されます。
今回の場合だと、 get_test_persistent_object_cache というfunctionになります。



/**
 * Tests if the site uses persistent object cache and recommends to use it if not.
 *
 * @since 6.1.0
 *
 * @return array The test result.
 */
public function get_test_persistent_object_cache() {
(省略)
    if ( wp_using_ext_object_cache() ) {
        return $result;
    }
(省略)
    return $result;
}



どうやらこのfunction内で呼び出している wp_using_ext_object_cache というfunctionでオブジェクトキャッシュの判定を行っているようです。



/**
 * Toggle `$_wp_using_ext_object_cache` on and off without directly
 * touching global.
 *
 * @since 3.7.0
 *
 * @global bool $_wp_using_ext_object_cache
 *
 * @param bool $using Whether external object cache is being used.
 * @return bool The current 'using' setting.
 */
function wp_using_ext_object_cache( $using = null ) {
	global $_wp_using_ext_object_cache;
	$current_using = $_wp_using_ext_object_cache;
	if ( null !== $using ) {
		$_wp_using_ext_object_cache = $using;
	}
	return $current_using;
}



ここでは、globalの $_wp_using_ext_object_cache が初期化されているかどうかを判定しています。
初期化処理は load.php の wp_start_object_cache というfunction内で行っています。



/**
 * Start the WordPress object cache.
 *
 * If an object-cache.php file exists in the wp-content directory,
 * it uses that drop-in as an external object cache.
 *
 * @since 3.0.0
 * @access private
 *
 * @global array $wp_filter Stores all of the filters.
 */
function wp_start_object_cache() {
	global $wp_filter;
	static $first_init = true;

	// Only perform the following checks once.

	/**
	 * Filters whether to enable loading of the object-cache.php drop-in.
	 *
	 * This filter runs before it can be used by plugins. It is designed for non-web
	 * runtimes. If false is returned, object-cache.php will never be loaded.
	 *
	 * @since 5.8.0
	 *
	 * @param bool $enable_object_cache Whether to enable loading object-cache.php (if present).
	 *                                  Default true.
	 */
	if ( $first_init && apply_filters( 'enable_loading_object_cache_dropin', true ) ) {
		if ( ! function_exists( 'wp_cache_init' ) ) {
			/*
			 * This is the normal situation. First-run of this function. No
			 * caching backend has been loaded.
			 *
			 * We try to load a custom caching backend, and then, if it
			 * results in a wp_cache_init() function existing, we note
			 * that an external object cache is being used.
			 */
			if ( file_exists( WP_CONTENT_DIR . '/object-cache.php' ) ) {
				require_once WP_CONTENT_DIR . '/object-cache.php';
				if ( function_exists( 'wp_cache_init' ) ) {
					wp_using_ext_object_cache( true );
				}
(省略)
}



wp_cache_init は cache.php 内で定義されていますが、この時点では読み込まれていません。
wp-content 配下に object-cache.php が存在する場合は読み込む、(その中で) wp_cache_init が定義されていれば、wp_using_ext_object_cache にtrueを渡し、$_wp_using_ext_object_cache をtrueで初期化する、という流れになっています。



プラグインのコードを読む



ということで、この object-cache.php が肝であることがわかったのですが、このファイルはコアコードには存在しません。
ではどこに存在するかというと、オブジェクトキャッシュを提供する各プラグイン内のようです。



以下は W3 Total Cache Plugin を有効化すると生成される object-cache.php です。
この中で wp_cache_init が定義されています。



/**
 * Init cache
 *
 * @return void
 */
function wp_cache_init() {
    $GLOBALS['wp_object_cache'] =
        \W3TC\Dispatcher::component( 'ObjectCache_WpObjectCache' );
}



リファレンスにもある通り、、オブジェクトキャッシュ提供するプラグインをインストールしない限りオブジェクトキャッシュは非永続であるとのことだそうです。




By default, the object cache is non-persistent. This means that data stored in the cache resides in memory only and only for the duration of the request. Cached data will not be stored persistently across page loads unless you install a persistent caching plugin.
https://developer.wordpress.org/reference/classes/wp_object_cache/



おわりに



サイトヘルスステータスでは、オブジェクトキャッシュのプラグインを利用しているかどうかをチェックして永続オブジェクトキャッシュの利用を判定していました。
そもそも永続オブジェクトキャッシュはWordPress標準では提供しておらず、利用したければプラグインをインストールすること、そしてそれを推奨しているようです(ver 6.1以降)。
言い換えると、オブジェクトキャッシュ自体は抽象化されおり、各ホスティングプロバイダーの都合によって独自実装する余地を残しているとも言えるかと思います。



【Laravel】orderedUuidはversion4っぽいorderedなUUIDを生成している
むらおか — Tue, 23 Aug 2022 16:20:41 +0000

Str::orderedUuid()は先頭の48ビットでタイムスタンプで表しているため、順序が保証されるらしい。



はじめに



Laravelのmigrationsでテーブルを作成する際は、 $table->id() としてidカラムがPKになることが多いかと思いですが、AUTO_INCREMENTだと都合が悪い場合もあります。その代替としては、GUIDをPKとする方法が一般的かと思われます。



ただし、アプリケーションでランダムに作成されたGUIDはそれ単体では連続性が保証されないので、
INSERTのオーバーヘッドが増加する可能性があります。



Laravelでは Str::orderedUuid() というメソッドでtime-orderedなUUID(version 4)を生成することが出来ます。
これを利用してorderedなUUIDをPKにすることで、INSERT時のデメリットを解消出来るということなのですが、




そもそもUUIDなのにtime-orderedってどういうことなのか？



どのようにtime-orderedを実現しているのか？




というところが気になったのでソースを深ぼって見ました。



Str::orderedUuid



とりあえず Str:orderedUuid の中身を見てみる。



/**
 * Generate a time-ordered UUID (version 4).
 *
 * @return \Ramsey\Uuid\UuidInterface
 */
public static function orderedUuid()
{
    if (static::$uuidFactory) {
        return call_user_func(static::$uuidFactory);
    }

    $factory = new UuidFactory;

    $factory->setRandomGenerator(new CombGenerator(
        $factory->getRandomGenerator(),
        $factory->getNumberConverter()
    ));

    $factory->setCodec(new TimestampFirstCombCodec(
        $factory->getUuidBuilder()
    ));

    return $factory->uuid4();
}



RandomGeneratorにCombGeneratorを、CodecにTimestampFirstCombCodecを指定し、UuidFactory::uuid4 を呼び出しています。RandomGeneratorとCodecがどのように使われているかは後述するとして、UuidFactory::uuid4 の中身を見てみます。



public function uuid4(): UuidInterface
{
    $bytes = $this->randomGenerator->generate(16);

    return $this->uuidFromBytesAndVersion($bytes, 4);
}



ここで先程指定したRandomGeneratorのgenerateを呼び出しています。そこで生成されたバイト文字列とバージョンを示す4を引数として uuidFromBytesAndVersion を呼び出しています。



/**
 * Returns an RFC 4122 variant Uuid, created from the provided bytes and version
 *
 * @param string $bytes The byte string to convert to a UUID
 * @param int $version The RFC 4122 version to apply to the UUID
 *
 * @return UuidInterface An instance of UuidInterface, created from the
 *     byte string and version
 *
 * @psalm-pure
 */
private function uuidFromBytesAndVersion(string $bytes, int $version): UuidInterface
{
    /** @var array $unpackedTime */
    $unpackedTime = unpack('n*', substr($bytes, 6, 2));
    $timeHi = (int) $unpackedTime[1];
    $timeHiAndVersion = pack('n*', BinaryUtils::applyVersion($timeHi, $version));

    /** @var array $unpackedClockSeq */
    $unpackedClockSeq = unpack('n*', substr($bytes, 8, 2));
    $clockSeqHi = (int) $unpackedClockSeq[1];
    $clockSeqHiAndReserved = pack('n*', BinaryUtils::applyVariant($clockSeqHi));

    $bytes = substr_replace($bytes, $timeHiAndVersion, 6, 2);
    $bytes = substr_replace($bytes, $clockSeqHiAndReserved, 8, 2);

    if ($this->isDefaultFeatureSet) {
        return LazyUuidFromString::fromBytes($bytes);
    }

    return $this->uuid($bytes);
}



uuidFromBytesAndVersion では引き渡されたバイト文字列のうち、versionとvariantを示す桁を置換しています。最後にそのバイト文字列からUuidクラスをnewして返却しています。



要するに Str:orderedUuid では、「RandomGeneratorで生成されたバイト文字列からUuidを生成している」ということのようです。



CombGenerator



CombGeneratorは COMB と呼ばれる連続性を持ったGUIDを生成します。
当該クラスのPhpDocに生成方法についての記述があります。



/**
 * CombGenerator generates COMBs (combined UUID/timestamp)
 *
 * The CombGenerator, when used with the StringCodec (and, by proxy, the
 * TimestampLastCombCodec) or the TimestampFirstCombCodec, combines the current
 * timestamp with a UUID (hence the name "COMB"). The timestamp either appears
 * as the first or last 48 bits of the COMB, depending on the codec used.
 *
 * By default, COMBs will have the timestamp set as the last 48 bits of the
 * identifier.
 * (略)
 */



DeepL翻訳にそのまま突っ込んだのが以下。




CombGenerator は StringCodec (そして、その代理として
TimestampLastCombCodec) または TimestampFirstCombCodec と共に使われる場合、CombGenerator は現在のタイムスタンプをUUIDと結合します。
タイムスタンプとUUIDを組み合わせます（”COMB “という名前に由来します）。タイムスタンプは
タイムスタンプは、使用するコーデックに応じて、COMBの最初または最後の48ビットとして表示されます。
デフォルトでは、COMBはタイムスタンプを識別子の最後の48ビットとして設定されます。




CombGeneratorがやっていることは、COMBと呼ばれるUUIDとtimestampを組み合わせた (combined) バイト文字列を生成するところまでで、timestampの48ビットをどこに割り当てるかはCodecによりけり、ということが窺えます。以下はその処理を司るメソッドです。



/**
 * @throws InvalidArgumentException if $length is not a positive integer
 *     greater than or equal to CombGenerator::TIMESTAMP_BYTES
 *
 * @inheritDoc
 */
public function generate(int $length): string
{
    if ($length < self::TIMESTAMP_BYTES) {
        throw new InvalidArgumentException(
            'Length must be a positive integer greater than or equal to ' . self::TIMESTAMP_BYTES
        );
    }

    $hash = '';
    if (self::TIMESTAMP_BYTES > 0 && $length > self::TIMESTAMP_BYTES) {
        $hash = $this->randomGenerator->generate($length - self::TIMESTAMP_BYTES);
    }

    $lsbTime = str_pad(
        $this->converter->toHex($this->timestamp()),
        self::TIMESTAMP_BYTES * 2,
        '0',
        STR_PAD_LEFT
    );

    return (string) hex2bin(
        str_pad(
            bin2hex($hash),
            $length - self::TIMESTAMP_BYTES,
            '0'
        )
        . $lsbTime
    );
}



大まかには、以下の流れで処理されていきます。




生成する文字列からTIMESTAMP_BYTESの桁数を除いた桁数の文字列を生成する



現在のtimestampを16進表記に置き換えた文字列を生成する



1の文字列の末尾に2を結合する




TimestampFirstCombCodec



生成したUuidクラスを文字列に変換する際にCodecによるencodeが呼び出されます。



/**
 * @psalm-return non-empty-string
 */
public function toString(): string
{
    return $this->codec->encode($this);
}



ここに来てようやく TimestampFirstCombCodec が使われるのです。



encodeの処理自体は比較的シンプルで、




CombGeneratorで生成したバイト文字列の末尾から48ビット(timestamp)と先頭の48ビットを入れ替える



UUIDのフォーマットに合わせて桁を区切り、 “-” でつなげる




というものになっています。



/**
 * @psalm-return non-empty-string
 * @psalm-suppress MoreSpecificReturnType we know that the retrieved `string` is never empty
 * @psalm-suppress LessSpecificReturnStatement we know that the retrieved `string` is never empty
 */
public function encode(UuidInterface $uuid): string
{
    $bytes = $this->swapBytes($uuid->getFields()->getBytes());

    return sprintf(
        '%08s-%04s-%04s-%04s-%012s',
        bin2hex(substr($bytes, 0, 4)),
        bin2hex(substr($bytes, 4, 2)),
        bin2hex(substr($bytes, 6, 2)),
        bin2hex(substr($bytes, 8, 2)),
        bin2hex(substr($bytes, 10))
    );
}

/**
 * Swaps bytes according to the timestamp-first COMB rules
 */
private function swapBytes(string $bytes): string
{
    $first48Bits = substr($bytes, 0, 6);
    $last48Bits = substr($bytes, -6);

    $bytes = substr_replace($bytes, $last48Bits, 0, 6);
    $bytes = substr_replace($bytes, $first48Bits, -6);

    return $bytes;
}



結論



Str::orderedUuid が生成する文字列は、timestampとUUIDを組み合わせて得られる連続性が保証されたUUIDである、といえます。



冒頭の問には以下の通りの回答となるかと思います。




そもそもUUIDなのにtime-orderedってどういうことなのか？
→ versionを示す桁は4になるが、UUID version 4と似て非なるもの



どのようにtime-orderedを実現しているのか？
→ 先頭48ビットでタイムスタンプを表してtime-orderedを実現している




おわりに



正直なところ、Str::orderedUuid については「ソート出来るUUID」ぐらいの認識しかなく、あまり疑問を持たずに使ってしまっていました。。
「良くわからないものはちゃんと調べてから使う」というのは当たり前のようで案外出来ないものですね。



参考資料



Laravel: The mysterious “Ordered UUID”
https://itnext.io/laravel-the-mysterious-ordered-uuid-29e7500b4f8



The Cost of GUIDs as Primary Keys
https://www.informit.com/articles/printerfriendly/25862



RFC 4122: A Universally Unique IDentifier (UUID) URN Namespace
https://www.rfc-editor.org/rfc/rfc4122.html#section-4.1



【WordPress】WPScanによるxmlrpcの検証方法
むらおか — Thu, 07 Jan 2021 15:05:12 +0000

WordPressではXML-RPCの機能がデフォルトでは有効になっています。
最新のWordPressのバージョンでは、XML-RPCに取って代わるREST APIが機能として存在するため、用途はほぼ皆無であると思います。



「WordPress xmlrpc」とググると、ブルートフォースアタックなどの脆弱性の温床になりかねないということで、無効化する方法が出てきます。



公式プラグインの WPScan ではXML-RPCが有効であるかどうかの検証をしていますが、その検証の仕方が予期しないもので、対応がなかなかうまく行かなかった話を紹介します。







結論から言うと、Webサーバーの設定でxmlrpc.phpへのアクセスを拒否する方法が簡単です。




  目次
    
    WPScanとは
XML-RPC機能の無効化Webサーバーでアクセスを拒否する
hookでXML-RPCの有効フラグを無効に変更する
WPScanによるXML-RPCの検証方法XML-RPCのエンドポイントが存在することを確認する
ログインを試みる
デモのメソッドを呼び出す
デモのメソッドを削除する
    
  

WPScanとは



WPScanはプラグインやテーマ、WordPressのコアの脆弱性を検出するプラグインです。
コード以外にも重要なファイルがpublicになっていないか、XML-RPCが有効になっていないかを検証してくれます。



スキャンをするためには、WPScanのAPIキーが必要となります。
プランによって一日にできるスキャンの回数が変わりますが、無料版でも十分使えます。



XML-RPC機能の無効化



冒頭で説明した通り、WordPressのXML-RPC機能は用途が無い上に脆弱性をはらんでいるので無効化することに越したことは無いです。



実際に無効化する良くある方法としては、




Webサーバーでアクセスを拒否する



hookでXML-RPCの有効フラグを無効に変更する




という2パターンが主流かと思います。



Webサーバーでアクセスを拒否する



nginxの場合は以下のような記述を追加するだけでOKです。



location = /xmlrpc.php {
      deny all;
}



hookでXML-RPCの有効フラグを無効に変更する



XML-RPCの有効フラグを上書きできるfilterが用意されています。



プラグインに以下の記述を追加してあげてください。



add_filter( 'xmlrpc_enabled', '__return_false' );



WPScanによるXML-RPCの検証方法



WPScanではXML-RPCが有効かどうかを3段階で検証しています。



ここからはWPScanの中身を見ていきます。



XML-RPCのエンドポイントが存在することを確認する



まず、XML-RPCのエンドポイントにGETリクエストをしてエンドポイントが存在しているかどうかを確認しています。



$url             = get_site_url() . '/xmlrpc.php';

// First check if the xmlrpc.php file returns a 405 code.
$is_available      = wp_remote_get( $url, array( 'timeout' => 5 ) );
$is_available_code = wp_remote_retrieve_response_code( $is_available );

if ( 405 !== $is_available_code ) return;



レスポンスコードが405以外だった場合は無効化されていると判断して、そのまま返却されます。



Webサーバーでアクセス拒否にした場合は、この時点で無効になっていると判定されます。
hookで上書きの場合は、GETアクセスに対しては何も手当をしていないので次の処理に進みます。



ログインを試みる



// Try an authenticated request.
$authenticated_body     = 'wp.getUsers1usernamepassword';
$authenticated_response = wp_remote_post( $url, array( 'body' => $authenticated_body ) );



次に、wp.getUsers というメソッドの呼び出しをし、ログインを試します。
ここでようやく xmlrpc_enabled を通るので無効化されていると判定されてくれれば良いのですが。。



デモのメソッドを呼び出す



WordPressのXML-RPCにはデモ用のメソッドが2つ用意されています。



'demo.sayHello'                    => 'this:sayHello',
'demo.addTwoNumbers'               => 'this:addTwoNumbers',



WPScanでは、最後にデモ用のメソッドを呼び出して確認しています。



// Try an unauthenticated request.
$unauthenticated_body     = 'demo.sayHello';
$unauthenticated_response = wp_remote_post( $url, array( 'body' => $unauthenticated_body ) );

if ( preg_match( '/Hello!<\/string>/', $unauthenticated_response['body'] ) ) {
			$this->add_vulnerability( __( 'The XML-RPC interface is partly disabled, but still allows unauthenticated requests.', 'wpscan' ), 'low', sanitize_title( $url ) );
}



デモ用のメソッドはXML-RPCが有効か無効かに関わらず、レスポンスが返ってきます。



フラグが無効になっているにも関わらず。。



このままだとWPScanはXML-RPCが一部有効と判定してしまって許してくれないようです。。







XML-RPCを無効化する本来の目的はブルートフォースアタックなどの攻撃を回避するためであって、WPScanに許してもらうわけではないので、hookでやるにしてもxmlrpc_enabled だけで足りているとは思うのですが、なんだか気持ち悪いので解消方法を考えてみました。



デモのメソッドを削除する



デモのメソッドは wp_xmlrpc_server クラスの $methods に格納されています。



これを上書きするxmlrpc_methods というfilterがあるのでそれを利用します。



add_filter( 'xmlrpc_methods', 'remove_demo_method', 10 );
public function remove_demo_method( $methods ) {
	unset( $methods['demo.sayHello'] );
	return $methods;
}



再度、リクエストを投げてみます。







該当のメソッドが存在しないことが確認できました。



【WordPress】WordPress 5.6以降から実装されるアプリケーションパスワード
むらおか — Fri, 30 Oct 2020 14:42:41 +0000

WordPressのREST APIは、WordPressに保存された投稿データ等をシステム間で連携するときのインタフェースとして利用する場面が多いです。
これまでは、AWS WAFで対向システムのIPのみ許可するとか独自でOAuthを用意する等、認証周りについて頭を悩ませることが多かったのですが、アプリケーションパスワードが実装されることによって悩みが一つ減る感じになるのかなという感覚です。



5.6ベータのリリースノートによると、アプリケーションパスワードを試すことができるようになってるみたいなので、今回はコアの中身がどう変わっていてどのように利用できるかを調査してみようと思います。



※「アプリケーションパスワードが何なのか？」「今までの認証方式は？」という話は他所ですでに出てるので、ここでは言及しないつもりです。








  目次
    
    コードの差分
使い方
    
  

コードの差分



default-filters.phpにユーザー情報をチェックするhookが追加されてます。



add_filter( 'determine_current_user', 'wp_validate_application_password', 20 );



callbackでは、ヘッダに PHP_AUTH_USER が設定されているときのみ整合性をチェックしているようです。
wp-json配下に別途Webサーバー側でBasic認証をかけている場合は微妙な動きになりそうではあります。



/**
 * Validates the application password credentials passed via Basic Authentication.
 *
 * @since 5.6.0
 *
 * @param int|bool $input_user User ID if one has been determined, false otherwise.
 * @return int|bool The authenticated user ID if successful, false otherwise.
 */
function wp_validate_application_password( $input_user ) {
	// Don't authenticate twice.
	if ( ! empty( $input_user ) ) {
		return $input_user;
	}

	if ( ! wp_is_application_passwords_available() ) {
		return $input_user;
	}

	// Check that we're trying to authenticate
	if ( ! isset( $_SERVER['PHP_AUTH_USER'] ) ) {
		return $input_user;
	}

	$authenticated = wp_authenticate_application_password( null, $_SERVER['PHP_AUTH_USER'], $_SERVER['PHP_AUTH_PW'] );

	if ( $authenticated instanceof WP_User ) {
		return $authenticated->ID;
	}

	// If it wasn't a user what got returned, just pass on what we had received originally.
	return $input_user;
}



user-edit.phpには、アプリケーションパスワードを設定するフォームが追加されています。



		
	
		
		
		
			
			

			

			
		

		
			 'application-passwords-user' ) );
			$application_passwords_list_table->prepare_items();
			$application_passwords_list_table->display();
			?>
		
	







使い方



実際に使ってみます。
前提としてSSL化されている状態であることとなっているので、localhostでやる場合は、
WP_ENVIRONMENT_TYPE にlocalを指定するか、アプリケーションパスワードを有効化する必要があります。



define('WP_ENVIRONMENT_TYPE', 'local');

または

add_filter('wp_is_application_passwords_available', '__return_true');




適当なアプリケーション名を入力してAdd Newすればパスワードを生成してくれるのでそれを使います。







この状態でcurlを叩いてみます。



ユーザー名と生成したパスワードの組み合わせが正しければ200が返却されます。
誤っていれば401が返却され、アプリケーションパスワードでの認証が効いていることが確認できます。



// 正しい場合
$ curl -Iu USER:PASS http://localhost/wp-json/wp/v2/posts
HTTP/1.1 200 OK

// 誤っている場合
$ curl -Iu USER:PASS http://localhost/wp-json/wp/v2/posts
HTTP/1.1 401 Unauthorized



ちなみにユーザーとパスワードがヘッダに存在しない場合も200が返却されます。



$ curl -I http://localhost/wp-json/wp/v2/posts
HTTP/1.1 200 OK



これの正しい回避方法がいまいちわかってませんが、PHP_AUTH_USER がない場合は空を代入してあげるくらいでしょうか。