先生と生徒の会話形式で理解しよう

生徒

「先生、Flaskでユーザーごとにアクセスできるページを変えたいんですが、どうすればいいですか？」

先生

「良い質問ですね。Flaskでは『ロール管理』や『グループ管理』という考え方を使って、ユーザーの権限をコントロールできます。」

生徒

「ロールって何ですか？それとグループって違うんですか？」

先生

「ロールは『役割』のことで、たとえば管理者（admin）、一般ユーザー（user）、ゲスト（guest）などを指します。グループは複数のユーザーをまとめる仕組みです。今日はこの２つをFlaskでどう作るかを学びましょう！」

1. Flaskでロール管理を行うとは？

Flask（フラスク）はPythonの軽量なWebフレームワークで、シンプルなWebアプリを作るのに非常に人気があります。Flaskでの「ロール管理」とは、ユーザーの役割に応じてアクセスできる機能やページを制御することです。

例えば、管理者は全てのデータを編集できるけれど、一般ユーザーは自分の情報しか編集できないといった違いを作ることができます。これを実現するために、「RBAC（Role Based Access Control）」という考え方がよく使われます。

2. グループとロールの違いを理解しよう

グループは「ユーザーの集まり」であり、ロールは「権限を表す役割」です。たとえば、会社の組織をイメージしてください。

営業部（グループ） → 営業担当者、マネージャーが所属
開発部（グループ） → エンジニア、リーダーが所属

そして、「営業担当者」や「エンジニア」といったのがロールです。つまり、グループは人をまとめる箱で、ロールはその人の立場や役割を表すものです。

Flaskではこの２つをうまく組み合わせて設計することで、柔軟なアクセス制御が可能になります。

3. Flaskでのロール管理の基本設計

Flaskでロール管理を行うためには、ユーザー情報に「role（ロール）」という属性を持たせるのが一般的です。ここでは、Flaskとその拡張機能であるFlask-Loginを使った例を紹介します。


from flask import Flask, redirect, url_for, render_template
from flask_login import LoginManager, UserMixin, login_required, current_user

app = Flask(__name__)
app.secret_key = "secret"

login_manager = LoginManager(app)

# 仮のユーザーデータ（実際はデータベースを使用）
users = {
    "admin": {"password": "1234", "role": "admin"},
    "user": {"password": "abcd", "role": "user"}
}

class User(UserMixin):
    def __init__(self, id, role):
        self.id = id
        self.role = role

@login_manager.user_loader
def load_user(user_id):
    data = users.get(user_id)
    if data:
        return User(user_id, data["role"])
    return None

@app.route("/admin")
@login_required
def admin_page():
    if current_user.role != "admin":
        return "アクセス権限がありません。"
    return "管理者ページです。"

@app.route("/user")
@login_required
def user_page():
    return f"{current_user.id}さんのユーザーページです。"

if __name__ == "__main__":
    app.run(debug=True)

このプログラムでは、ユーザーが「admin」ロールかどうかを確認して、管理者ページへのアクセスを制御しています。もし一般ユーザーが/adminページを開こうとすると、「アクセス権限がありません」と表示されます。

4. グループ管理を追加して柔軟に設計しよう

グループを導入することで、ロールだけでなく組織単位での制御も可能になります。たとえば、部署ごとに見えるデータを変えたい場合などに有効です。


class Group:
    def __init__(self, name):
        self.name = name
        self.users = []

    def add_user(self, user):
        self.users.append(user)

# グループ作成
sales = Group("営業部")
dev = Group("開発部")

# ユーザーをグループに追加
admin_user = User("admin", "admin")
normal_user = User("user", "user")

sales.add_user(admin_user)
dev.add_user(normal_user)

このように、グループごとにユーザーを管理することで、「開発部だけが特定の機能を使える」といった制御が可能になります。

5. デコレータを使ってアクセス制御をきれいに書く

毎回if current_user.role == "admin"のように書くのは面倒なので、デコレータ（関数に機能を追加する仕組み）を使ってコードを整理します。


from functools import wraps
from flask import abort

def role_required(role):
    def decorator(f):
        @wraps(f)
        def decorated_function(*args, **kwargs):
            if not current_user.is_authenticated or current_user.role != role:
                abort(403)
            return f(*args, **kwargs)
        return decorated_function
    return decorator

@app.route("/admin/dashboard")
@login_required
@role_required("admin")
def admin_dashboard():
    return "管理者専用ダッシュボードです。"

このようにデコレータを使うことで、読みやすく再利用しやすいアクセス制御が実現できます。