先生と生徒の会話形式で理解しよう

生徒

「LaravelでAPIを作ったんですが、誰でもアクセスできてしまいます。これって危なくないですか？」

先生

「そのままだと問題ですね。APIには本人だけが使えるようにする仕組み、つまり認証が必要です。」

生徒

「APIにもログインみたいなものがあるんですか？」

先生

「あります。LaravelではSanctumを使うと、API認証をとても簡単に実装できます。」

1. API認証とは何か

API認証とは、そのリクエストを送ってきた人が「正しい利用者かどうか」を確認する仕組みです。現実の例で言うと、会員制の建物に入るときに会員証を見せるようなものです。

認証がないAPIは、誰でも勝手に使えてしまいます。これでは大切なデータを守れません。そのため、LaravelのAPI開発では認証を必ず設定します。

2. Sanctumとは

Sanctumは、Laravel公式の認証機能の一つです。API用の認証をシンプルに実装できるのが特徴です。難しい設定をしなくても、トークンと呼ばれる鍵を使って安全に通信できます。

トークンとは「本人であることを証明する合言葉」のようなものです。一度ログインしてトークンを取得すると、その後のAPIリクエストではこのトークンを一緒に送ります。

Sanctumのトークン認証は、とても分かりやすい仕組みです。最初にログインAPIを呼び出し、正しいメールアドレスとパスワードならトークンが発行されます。

その後は、APIにアクセスするときにトークンを添えて送るだけです。Laravel側では、そのトークンが正しいかを確認し、問題なければ処理を実行します。

SanctumはLaravelに簡単に追加できます。インストールすると、API認証に必要な仕組みが自動で用意されます。初心者でも、特別な知識がなくても使える点が大きなメリットです。

この準備によって、「APIを守る鍵」がシステムに組み込まれます。


$token = $user->createToken('api-token')->plainTextToken;

この処理で、ユーザー専用のトークンが作られます。この文字列がAPI認証で使われる鍵になります。実際の開発では、このトークンをJSON形式で返します。

Sanctumでは、ミドルウェアという仕組みを使ってAPIを保護します。ミドルウェアとは、処理の前にチェックを入れる門番のような存在です。

認証用のミドルウェアを設定すると、トークンを持っていない人はAPIを使えなくなります。これにより、不正アクセスを防げます。

APIに認証をかけることで、データの安全性が大きく高まります。誰がどのAPIを使っているかも分かるため、トラブルの原因も追いやすくなります。

LaravelとSanctumを使えば、難しい理論を知らなくても、実用的なAPI認証を実装できます。API開発では欠かせない基本要素なので、しっかり理解しておきましょう。