Coffee Breakにプログラミング備忘録
Currently viewing the tag: "auth"
ssh-keygenコマンドで秘密鍵・公開鍵生成メモ
公開鍵・秘密鍵生成
1.ターミナルソフトを立ち上げて「ssh-keygen」実行。
2.Enter file in which to save the key (/Users/[ユーザ名]/.ssh/id_rsa): 保存先ファイル名を指定(デフォルトで良ければEnter)
3.Enter passphrase (empty for no passphrase): 任意のパスフレーズを設定
4.Enter same passphrase again: 上記パスフレーズの確認入力
5.確認:2で生成した場所にファイルが存在するか確認(デフォルトの場合は秘密鍵id_rsa,公開鍵id_rsa.pub)
完了
※fingerprintを後から確認するには「ssh-keygen -lf /Users/[ユーザ名]/.ssh/id_rsa」コマンドで確認可能
サーバに公開鍵設定
1.サーバの.sshを開き上記で生成した公開鍵(デフォルト:id_rsa.pub)の中身をコピー
2.コピーした内容をサーバのauthorized_keysへペースト(最後に改行必要)
ついでにGitHubへ公開鍵登録方法
1.githubへログイン
2.「edit your profile」から「ssh keys」を選択
3.「add ssh key」を押してtitleとkeyを設定
※titleは覚えやすい名前/keyは公開鍵の中の文字列(改行などをいれるのはだめ)
参考:http://git-scm.com/book/ja/Git-%E3%82%B5%E3%83%BC%E3%83%90%E3%83%BC-SSH-%E5%85%AC%E9%96%8B%E9%8D%B5%E3%81%AE%E4%BD%9C%E6%88%90
opauthライブラリを使用してTwitter認証を実装する手順をメモ
既にTwitterのストラテジが組み込まれているため、設定をするだけで実装可能
Twitter認証は別途tmhOAuthというライブラリが使用されている。どうやら、Twitterのoauth認証を実装する場合に使われるライブラリのよう。
プロジェクトフォルダ(プロジェクト名)は「basedemo」としてローカル環境で試す
導入手順 ※導入はおよそ5分の作業
前提:
前の投稿記事の[FuelPHP]opauthライブラリでFacebook認証を速攻実装するを既に実装していること
手順1.Twitter開発者ページの設定
アプリ登録を行い、「Consumer key」「Consumer secret」を取得する。
[Callback URL]には、Controller_AuthクラスのAction_Callbackメソッドとなるので以下のようにする。
http://[サイトパス]/auth/callback/
※ローカル環境の実行の場合は127.0.0.1とする。localhostにすると登録できない
今回は「http://127.0.0.1/basedemo/auth/callback/」を設定する
手順2.opauth.php設定ファイルの設定
前回のFacebook認証の設定にTwitter認証設定を追加する
<!--?php 'path' =--> '/basedemo/auth/login/', 'security_salt' => 'testtesttest', // デフォルトで設定されている値と違うものにする ※同じ場合動作しない 'callback_url' => '/basedemo/auth/callback/', 'Strategy' => array( 'Facebook' => array( 'app_id' => 'APP_ID', 'app_secret' => 'APP_SECRET' ), 'Twitter' => array( 'key' => 'KEY', // 手順1で取得した「Consumer key」の値を設定 'secret' => 'SECRET' // 手順1で取得した「Consumer secret」の値を設定 ), ),
手順3.エラー修正
手順2までで完了になるが、この段階で実行すると以下のエラーが出た
エラーとしては
ErrorException [ Error ]: Class ‘Opauth\tmhOAuth’ not found
となり、tmhOAuthがありませんって言ってる。
見えていないようなので、tmhOAuth/tmhOAuth.phpにopauthのnamespaceに組み込むことにする。
namespace Opauth;
class tmhOAuth {
const VERSION = 0.621;
/**
* Creates a new tmhOAuth object
*
* @param string $config, the configuration to use for this request
*/
function __construct($config) {
$this->params = array();
$this->headers = array();
$this->auto_fixed_time = false;
〜〜 省略 〜〜
動作確認
「http://localhost/basedemo/auth/login/twitter/」を実行してtwitterのログインページに遷移すればOK。あとはログインして完了すると「OK: Auth response is validated.」が表示されれば成功。
画面上はtwitterからのレスポンス情報が表示されているはず。
最後に・・・
facebookを先に実装しているのでより簡単に行えた。あとはこちらもDBに情報格納やらプロジェクトにあったコールバック処理、遷移に変えればよさそう。
その他ストラテジの追加は下記公式サイトよりストラテジファイルをダウンロードして配置して、config設定を行い多少修正すれば、おそらくすぐに実装が可能。
公式サイト:http://opauth.org/
facebookのアクセストークンの有効期限についてメモ
facebookにはログイン認証が承認されるとアクセストークンが取得でき、2012年まではオフラインアクセストークンは一度取得すると無期限で使用可能だったが、facebookの仕様が改変され現在は廃止されている。
オフラインアクセストークンは一度ユーザから許可を取り取得すると、ユーザがアプリを起動していない場合にもfacebook情報を取得することが可能。現在は無期限ではなく、デフォルトでは期限は2時間程とのこと。
2時間を無期限にすることはできないが、apiが用意されており、以下クエリをfacebookに投げると2ヶ月に延長することが可能。ただしユーザがパスワード変更した場合やアプリを削除すればアクセストークンも使用不可になる。
https://graph.facebook.com/oauth/access_token?
client_id=APP_ID&
client_secret=APP_SECRET&
grant_type=fb_exchange_token&
fb_exchange_token=EXISTING_ACCESS_TOKEN
opauthライブラリのfacebook認証では、アクセストークンの期限は2ヶ月となる。
アプリの仕様でログインしてない場合にも情報を取得する必要がある場合には、アクセストークンをDBなどに格納しておくと良い。
opauthライブラリを使用してFacebook認証を実装する手順をメモ
[FuelPHP]opauthライブラリで速攻SNS認証(Twitter,Facebook,Google etc)で投稿しているopauthライブラリの実装方法について。
opauthはPHPのフレームワーク毎にパッケージ化されており、FuelPHPも既にパッケージ化されている。
https://github.com/andreoav/fuel-opauth
※バグ改修、コードリファクリングで何度か更新されているっぽい
一度大元となるFuelPHPのopauthパッケージをプロジェクトに導入すると、あとは各ストラテジのファイルを入れ込むだけで簡単に各種SNS認証が導入できる。
2013/1現在のFuelPHPのopauthパッケージには、既にFacebook,Twitterの二つのストラテジは入れ込まれている。
今回はとりあえずFacebookの認証を動くところまで試す。取り込み手順はREADMEのHow to use の4手順。
プロジェクトフォルダ(プロジェクト名)は「basedemo」としてローカル環境で試す
導入手順 ※導入はおよそ10分程
手順1.Facebook管理者ページの設定
Facebook開発者ページからアプリ登録を行い、「App ID」「App Secret」を取得する。
https://developers.facebook.com/apps
[Facebookでログインするウェブサイト]の[Webサイト]には手順5で作成するController_AuthクラスのAction_Loginメソッドにストラテジ文字列を引数としたアドレスがログインページとなるので以下のようにする。
http://[サイトパス]/auth/login/facebook/
※ローカル環境の実行の場合はlocalhostで問題なし
今回は「http://localhost/basedemo/auth/login/facebook/」を設定する
この[Webサイト]パスを間違えると下記のようなエラーが出るので注意
—————————————————————————————————————————————
API Error Code: 191
API Error Description: The specified URL is not owned by the application
Error Message: Invalid redirect_uri: 指定されたURLは、アプリケーションの設定で許可されていません。
—————————————————————————————————————————————
手順2.プロジェクトにopauthライブラリをgitからclonesで取り込む ※How to use の1
cd basedemo/fuel/packages/ git clone git://github.com/andreoav/fuel-opauth.git opauth
※zipファイルでダウンロードしてフォルダをパッケージ配下に配置しても同様
手順3.opauth.php設定ファイルの作成 ※How to useの2
opauth/config/opauth.phpをbasedemo/fuel/app/config/にコピーする ※新規作成でも良い
<?php 'path' => '/basedemo/auth/login/', 'security_salt' => 'testtesttest', // デフォルトで設定されている値と違うものにする ※同じ場合動作しない 'callback_url' => '/basedemo/auth/callback/', 'Strategy' => array( 'Facebook' => array( 'app_id' => 'APP_ID', // 手順1で取得した「App ID」の値を設定 'app_secret' => 'APP_SECRET' // 手順1で取得した「App Secret」の値を設定 ), ),
security_saltはデフォルトと違う値かどうかをコード上チェックしているため、別の適当な値を設定すること。
今後ストラテジを追加する場合にはFacebookと同様に追加して記載する。
Twitterの場合:
'Twitter' => array( 'key' => 'KEY', 'secret' => 'SECRET' ),
pathとcallback_urlについてはサイト直下に作成している場合は「How to useの2」に記載されている通りpath[/auth/login/]、callback_url[/auth/callback/]でいいが、今回はlocalhost直下ではなくlocalhost/basedemoなので[/basedemo]を付け忘れないこと。今回ここで4時間ぐらい無駄にハマった・・・
それぞれController_AuthクラスのAction_Authメソッド、Action_Callbackメソッドを呼び出している。
手順4.config.phpの設定 ※How to useの3
opauthをパッケージとして読み込む設定をする
<!--?php 'always_load' =--> array( 'packages' => array( 'opauth', ), ),
手順5.コントローラファイルの作成 ※How to useの4
auth.phpを[/fuel/app/classes/controller]へ新規作成する
あとは「How to useの2」のコードをそのままコピペ
<!--?php class Controller_Auth extends Controller { private $_config = null; public function before() { if(!isset($this--->_config))
{
$this->_config = Config::load('opauth', 'opauth');
}
}
/**
* eg. http://www.exemple.org/auth/login/facebook/ will call the facebook opauth strategy.
* Check if $provider is a supported strategy.
*/
public function action_login($_provider = null)
{
if(array_key_exists(Inflector::humanize($_provider), Arr::get($this->_config, 'Strategy')))
{
$_oauth = new Opauth($this->_config, true);
}
else
{
return Response::forge('Strategy not supported');
}
}
// Print the user credentials after the authentication. Use this information as you need. (Log in, registrer, ...)
public function action_callback()
{
$_opauth = new Opauth($this->_config, false);
switch($_opauth->env['callback_transport'])
{
case 'session':
session_start();
$response = $_SESSION['opauth'];
unset($_SESSION['opauth']);
break;
}
if (array_key_exists('error', $response))
{
echo '<strong style="color: red;">Authentication error: </strong> Opauth returns error auth response.'."
\n";
}
else
{
if (empty($response['auth']) || empty($response['timestamp']) || empty($response['signature']) || empty($response['auth']['provider']) || empty($response['auth']['uid']))
{
echo '<strong style="color: red;">Invalid auth response: </strong>Missing key auth response components.'."
\n";
}
elseif (!$_opauth->validate(sha1(print_r($response['auth'], true)), $response['timestamp'], $response['signature'], $reason))
{
echo '<strong style="color: red;">Invalid auth response: </strong>'.$reason.".
\n";
}
else
{
echo '<strong style="color: green;">OK: </strong>Auth response is validated.'."
\n";
/**
* It's all good. Go ahead with your application-specific authentication logic
*/
}
}
return Response::forge(var_dump($response));
}
}
動作確認
「http://localhost/basedemo/auth/login/facebook/」を実行してfacebookのログインページに遷移すればOK。あとはログインして完了すると「OK: Auth response is validated.」が表示されれば成功。
画面上はfacebookからのレスポンス情報が表示されているはず。
最後に・・・
単に配置しただけで認証のみは簡単に行えた。あとはDBに情報格納やらプロジェクトにあったコールバック処理、遷移に変えればよさそう。
その他ストラテジの追加は下記公式サイトよりストラテジファイルをダウンロードして配置して、config設定を行い多少修正すれば、おそらくすぐに実装が可能。
公式サイト:http://opauth.org/
あれ、ログアウト処理ないね。。セッション値を削除すればいいかな。
サンプルデモアプリ「BaseDemoプロジェクト」を公開
FuelPHPをでサービスを作るとして必要となるであろう機能のベースを勉強しながら作成している。途中過程をGitHubへアップ。前回の投稿記事「[FuelPHP]独自オリジナル認証ドライバをsimpleauthを参考に実装する」反映済み
機能としてはログイン(オリジナルドライバ)、サインアップ、アカウント管理機能を実装
※SNS認証についてはアップ段階では未実装。今から直ちに実装予定。
GitHubリポジトリ:
https://github.com/y-matsumoto/BaseDemo.git
※README参照
機能詳細
1.認証ログイン
下記、投稿記事コードを実装
[FuelPHP]独自オリジナル認証ドライバをsimpleauthを参考に実装する1
[FuelPHP]独自オリジナル認証ドライバをsimpleauthを参考に実装する2
[FuelPHP]完成?:独自オリジナル認証ドライバをsimpleauthを参考に実装する3
2.サインアップ
画面:
一般ユーザ権限で作成可能。管理ユーザは画面上作成不可 ※コンソールから作成
権限:
Admin/Userのみ ※権限により処理(画面など)をswitchしてる
管理画面[controller/admin]・一般ユーザ画面[controller/user]を継承
3.アカウント管理(プレビュー)
新規・編集
※スキャフォールドをベースに作成してるため、あまり使えるViewではないのかもない
導入手順
1.clone作成
$ git clone git://github.com/y-matsumoto/BaseDemo.git
2.db関連
プロジェクト直下database.sqlを実行
3.ファイルバーミッション設定 ※やらなくてもいい
$ oil refine install //or [oil r install]
4.apache設定
basedemo/public/をhtdocsへ置く // or シンボリックリンク
5.account作成(admin権限) ※signupで作成する場合は一般ユーザ権限のみ
•[oil console]コマンドでコンソール上からcreatメソッドをコール
$ oil console // start
>>> Auth::create_user(‘admin’, ‘password’, ‘test@test.co.jp’, 100); // create user execute
1 // complete
>>> exit; // end
※導入手順は未確認のため、なにかあればご連絡ください。
よければ・・・
その他、ソースコードの指摘やフォルダ構成の指摘、全体アドバイスなど
もらえると参考になるのでコメント期待!
身近にスキル上、レビューできる人がいないのでコードが煩雑かも・・・
さてSNS認証つけよっと。
前回の続き
ドライバの実装が終わったので、呼び出し側のコード
<?php
class Controller_Base extends Controller_Template {
public $template = 'common/template';
public function before()
{
parent::before();
$this->current_user = Auth::check() ? Model_User::find_by_username(Auth::get_screen_name()) : null;
View::set_global('current_user', $this->current_user);
}
}
これはoil generate admin コマンドで自動生成されるベースファイルをそのまま流用
テンプレートパスは’common/template’にしている
ログインを管理するsign.phpを作成
<?php
class Controller_Sign extends Controller_Base {
public function before()
{
parent::before();
}
public function action_login()
{
if(Auth::check()) Response::redirect($this->get_groups_redirect_path());
$val = Validation::forge();
if (Input::method() == 'POST')
{
$val->add('email', 'Email or Username')
->add_rule('required');
$val->add('password', 'Password')
->add_rule('required');
if ($val->run())
{
if (Auth::instance()->login(Input::post('email'), Input::post('password')))
{
$current_user = Model_User::find_by_username(Auth::get_screen_name());
Session::set_flash('success', e('Welcome, '.$current_user->username));
Response::redirect($this->get_groups_redirect_path());
}
// login failure
Session::set_flash('error', e('login error. please try agein'));
}
}
$this->template->title = 'Login';
$this->template->content = View::forge('admin/login')->set('val', $val, false);
}
public function action_logout()
{
if(!Auth::logout())
{
Session::set_flash('info', e('logout success'));
Response::redirect('sign/login');
}
}
public function get_groups_redirect_path()
{
$groups = Auth::instance()->get_groups();
$group = $groups[0][1];
$group == Util_Const::GROUP_ADMINISTRATOR_KEY and $redirect_path = 'admin/index';
$group == Util_Const::GROUP_USER_KEY and $redirect_path = 'user/index';
return empty($redirect_path) ? '':$redirect_path;
}
}
ログイン認証を通った場合のリダイレクト先についてはこちらの都合上、groupの権限でswitchしている。
groupのkey値をconstに指定。
<?php
class Util_Const
{
/* ======= db ======= */
const DB_DLT_OFF = 0;
const DB_DLT_ON = 1;
/* ======= group ======= */
const GROUP_USER_KEY = 1;
const GROUP_ADMINISTRATOR_KEY = 100;
}
ここまでで呼び出し完了のはず。今回はログインのみのためtb_usersテーブルにアカウントを作成しないと動かない。アカウント作成用のメソッドをauth/login/baseauth.phpに作成。
public function create_user($username, $password, $email, $group = 1,$auth_type = 1,$dlt_flg = 0)
{
$password = trim($password);
$email = filter_var(trim($email), FILTER_VALIDATE_EMAIL);
if (empty($username) or empty($password) or empty($email))
throw new Exception('Username, password or email address is not given, or email address is invalid');
$user = new Model_User();
$user->username = $username;
$user->password = $this->hash_password((string) $password);
$user->email = $email;
$user->group = $group;
$user->auth_type = $auth_type;
$user->last_login = '';
$user->salt = '';
$user->dlt_flg = $dlt_flg;
try{
$user->save();
}catch(Exception $e){
throw new Exception('create user registry error');
}
return 1;
}
それでは呼び出してadminアカウントを作成。ここではsignup画面は省略してoil consoleから作成。
$ oil console
>>> Auth::create_user('admin', 'password', 'test@test.co.jp', 100);
1
>>> exit
正直戻り値が成功で「1」っていうのは意味が分からないが、simpleauthに便乗している。trueにしたいところ。phpだからしかたないのかな。これでログインできれば成功かな。
今回はviewなどのコードをアップしていないので、分かりにくいところがあるので、一応githubにsignup画面込みでアップする予定。
前回の続き
抽象メソッド全て実装。simpleauthパクってる所も多い。
本来はDB操作はモデルでメソッド作成するべきだろう。
あとUtil_Const::DB_DLT_OFFをバインドパラメータに直でbind(‘dlt_flg’ , Util_Const::DB_DLT_OFF)とパラメータ参照エラーになる。fuelphpとかではなくDB上の話。
dlt_flgでデフォルトの物理削除ではなく論理削除に回避しているので、取得時も条件式にいれている。
<?php
class Auth_Login_BaseAuth extends Auth\Auth_Login_Driver {
protected $config = array('drivers' => array('group' => array('BaseAuth')));
protected $user;
protected function perform_check() {
$current_user = Session::get('current_user');
if (!is_null($current_user) && is_array($current_user)) {
if (isset($current_user['id']) && isset($current_user['salt'])) {
$dlt_flg = Util_Const::DB_DLT_OFF;
$users = DB::query(
'SELECT * FROM tb_users WHERE id = :id AND salt = :salt AND dlt_flg = :dlt_flg'
)
->bind('id', $current_user['id'])
->bind('salt' , $current_user['salt'])
->bind('dlt_flg' , $dlt_flg)
->as_object('Model_User')
->execute()
->as_array();
if (!is_null($users) && count($users) === 1) {
$this->user = reset($users);
return true;
}
}
}
return false;
}
public function validate_user($username_or_email = '', $password = '') {
if(empty($username_or_email) || empty($password)) return false;
$username_or_email = trim($username_or_email);
$password = trim($password);
$password = $this->hash_password($password);
$dlt_flg = Util_Const::DB_DLT_OFF;
$users = DB::query(
'SELECT * FROM tb_users WHERE (username = :username_or_email or email = :username_or_email) AND password = :password AND dlt_flg = :dlt_flg'
)
->bind('username_or_email', $username_or_email)
->bind('password' , $password)
->bind('dlt_flg' , $dlt_flg)
->as_object('Model_User')
->execute()
->as_array();
if (!is_null($users) && count($users) === 1){
$this->user = reset($users);
$this->user->last_login = Date::forge()->get_timestamp();
$this->user->salt = $this->create_salt();
$this->user->save();
Session::set('current_user', array('id' => $this->user->id,'salt' => $this->user->salt));
return true;
}
return false;
}
public function login($username_or_email = '', $password = '') {
return $this->validate_user($username_or_email, $password);
}
public function logout() {
Session::delete('current_user');
return true;
}
public function get_user_id() {
if (!empty($this->user) && isset($this->user['id'])) {
return array($this->id, (int)$this->user['id']);
}
return null;
}
public function get_groups() {
if (!empty($this->user) && isset($this->user['group'])) {
return array(array('BaseAuth', $this->user['group']));
}
return null;
}
public function get_email() {
if (!empty($this->user) && isset($this->user['email'])) {
return $this->user['email'];
}
return null;
}
public function get_screen_name() {
if (!empty($this->user) && isset($this->user['username'])) {
return $this->user['username'];
}
return null;
}
public function has_access($condition, $driver = null, $entity = null) {
if (is_null($entity) && !empty($this->user)) {
$groups = $this->get_groups();
$entity = reset($groups);
}
return parent::has_access($condition, $driver, $entity);
}
public function create_salt()
{
if (empty($this->user)) throw new Exception();
return sha1(Config::get('baseauth.login_hash_salt').$this->user->username.$this->user->last_login);
}
}
<?php
class Auth_Group_BaseAuth extends Auth\Auth_Group_Driver {
protected $config = array('drivers' => array('acl' => array('BaseAuth')));
public function get_name($group = null) {
// noop
}
public function member($group, $user = null) {
$auth = empty($user) ? Auth::instance() : Auth::instance($user[0]);
$groups = $auth->get_groups();
return in_array(array($this->id, $group), $groups);
}
}
<?php
class Auth_Acl_BaseAuth extends Auth\Auth_Acl_Driver {
public function has_access($condition, Array $entity) {
if (count($entity) > 0) {
$group = Auth::group($entity[0]);
if (!is_null($group) || !empty($group)) return $group->member($condition);
}
return false;
}
}
ここまでで実装完了。コード中にutilで定義している定数を使っているのでこちらのソースも公開
<?php
class Util_Const
{
/* ======= db ======= */
const DB_DLT_OFF = 0;
const DB_DLT_ON = 1;
}
パスワードの暗号化はsimpleauthと同様driversのメソッドを呼び出し。
今回はここまで
ここまででドライバは一応実装済み。
simpleauthドライバよりもシンプルで特に勝るところもなく仕上がったかな。
あとは呼び出しのみ。
認証ドライバの作成方法についてメモ
FuelPHPで認証用に用意されているAuthパッケージがある。Authパッケージを既に実装しているsimpleauthドライバを使用すると簡単に認証機能を実装できる。しかし、simpleauthの仕様にあわせてテーブルカラムを用意しなければならなそう?なので、中で何をやっているか解析しつつ独自にドライバを作成。
※simpleauth仕様:
http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/simpleauth/intro.html#/database
■参考
•公式サイト
http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/drivers.html
※情報が少なく全然役に立たない
•公式ドキュメント
http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/simpleauth/login.html
http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/simpleauth/groups.html
http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/simpleauth/acl.html
※英語だがAPIマニュアルとして多少役立つ
•simpleauth[packages/auth/classes/auth/配下]の実装
•親クラスdriver.php[packages/auth/classes/auth/配下]の実装
※取り込み元のコードなのでほとんどこれらを参考
実装要件
今回はドライバ名は「baseauth」にします
そしてuserテーブル構成は以下のようにします
CREATE TABLE `tb_users` ( `id` int(11) NOT NULL AUTO_INCREMENT, `username` varchar(50) NOT NULL, `password` varchar(255) NOT NULL, `group` int(11) NOT NULL DEFAULT '1', `email` varchar(255) NOT NULL, `last_login` int(11) NOT NULL, `auth_type` int(11) NOT NULL DEFAULT '1', `salt` varchar(255) NOT NULL, `dlt_flg` tinyint(1) NOT NULL, `created_at` int(11) NOT NULL, `updated_at` int(11) NOT NULL, PRIMARY KEY (`id`), UNIQUE KEY `username_email` (`username`,`email`) ) ENGINE=InnoDB DEFAULT CHARSET=utf8 AUTO_INCREMENT=4 ;
auth_typeはログイン画面のbasic認証か各SNS(Twitter,Facebook etc)認証かのタイプを格納するつもり(とりあえず)。ここではbasic認証のみのため、常に1で良い。dlt_flgは削除されたときに物理削除をさけるため、論理削除とするため。groupは今回は管理者adminと一般ユーザのuserのみとする。
ドライバの準備
まずは下記3点を準備する。
•Login (Auth_Login_Driver).
•Group (Auth_Group_Driver).
•Acl (Auth_Acl_Driver).
公式サイト:http://press.nekoget.com/fuelphp_doc_1.2/packages/auth/drivers.html
つまり
fuel/app/classes/authフォルダへ以下3つのフォルダを用意し、それぞれにドライバ名をつけたphpファイル「baseauth.php」を用意する。
fuel/app/classes/auth/login
fuel/app/classes/auth/group
fuel/app/classes/auth/acl
親クラスdriver.php内で抽象メソッドとして宣言しているものをとりあえずbaseauth.phpへすべて実装しておきます。
abstract protected function perform_check(); abstract public function validate_user(); abstract public function login(); abstract public function logout(); abstract public function get_user_id(); abstract public function get_groups(); abstract public function get_email(); abstract public function get_screen_name();
abstract public function member($group, $user = null); abstract public function get_name($group);
abstract public function has_access($condition, Array $entity);
これら各メソッドの処理を実装したらドライバができるはずです。それぞれメソッドでなにをやるかはsimpleauthの実装を見ながらゆっくり考えていこうと思います。
configファイル準備
simpleauthのconfigファイルもそのまま流用。
「fuel/packages/auth/config」フォルダにあるsimpleauth.phpを「fuel/app/config」フォルダにbaseauth.phpとしてコピー。
設定情報を下記のように変更。ついでに不要なものは削除。
login_hash_saltはログイン認証後にSessionの認証をするために使用する文字列。ある程度の文字列にするとセキュリティ的に有効。simpleauthの仕様と同様に固定指定とする。
return array(
'login_hash_salt' => 'ZegakljelktPm16AA$Y/dlgadkjjelijmaaZe',
'groups' => array(
1 => array('name' => 'Users', 'roles' => array('user')),
100 => array('name' => 'Administrators', 'roles' => array('admin')),
),
'auth_type' => array(
1 => array('type' => 'Basic'),
2 => array('type' => 'Twitter'),
3 => array('type' => 'Facebook'),
),
);
authファイル準備
「fuel/packages/auth/config」フォルダにあるauth.phpを「fuel/app/config」フォルダにコピー。
そしてBaseAuthをドライバとして登録。
saltは親クラスdrivers.phpでパスワードに付与して暗号化する文字列。ある程度複雑な文字列の方がセキュリティ上よい。ただ固定していのため、ブルートフォースに負ける可能性が高い。別メモ参照
return array( 'driver' => 'BaseAuth', 'verify_multiple_logins' => false, 'salt' => 'b70Ga(Z0s4zu&1!cR#DoXrAgaa7&6aTsM$C/)ZmkZ00bkaz', );
今回はここまで
simpleauthドライバのsaltの有効性と可変への移行について考えた事をメモ
config/auth.php内で指定できる、saltがパスワードのプレフィックスのsaltとして使用されている。このsaltの固定指定はセキュリティとしては問題とあがっている。saltが固定ということは、解析する場合にも一つ解析されるとすべてのパスワードが解析できてしまうことになる。ブルートフォース攻撃といわれるもので、総当たり解析ツールを使用することでsaltの長さにもよるが、簡単に解析できる。
※saltがある程度長いと解析に時間がかかる。固定でも可変でもある程度の複雑さがあり文字数が必要そう。
return array( 'driver' => 'BaseAuth', 'verify_multiple_logins' => false, 'salt' => 'test', // 固定指定。ある程度複雑な指定が有効 );
そう考えると、可変指定に変更した場合にも調べることができそうなので、ならばsimpleauthの仕様通り固定のままでいくこともセキュリティ的にみてもありなのではないか思う。ならパスワードを平文でもいいとはさすがに思わない。
simplauthではAuthパッケージ内のメソッドを使用してBase64エンコードになっている
base64_encode($this->hasher()->pbkdf2($password, Config::get('auth.salt'), 10000, 32));
※折角テーブルにタイムスタンプやユーザ名などユニークな値をもっているため、付加したらもうすこしセキュリティとしていいのではないか
単純に可変にした場合にもセキュリティ面ではあまり有効ではないが可変にする方法を考える
saltをユーザ毎に持たせることが必要になり、さらにこの場合のsaltはテーブル内に格納する訳にはいかないため、サーバ上のリソース(テキストファイルなど)にユーザキーと共に格納することが必要。
前回はopauthについて投稿しましたが、他にも使い勝手がよさそうなのがありました。
HybridAuthというものでこちらもopauth同様のことができるそうです。
ただHybridAuthにはAPIの処理の実装もされているため、今後SNSのAPIを使用する予定がある場合には、こちらの方がよさそうです。
ただFuelPHPにはまだライブラリとして提供はされていないので、公式サイトから必要なファイルをFuelPHPの規約にあわせて取り込むことが必要そう。
opauthライブラリについてメモ
opauthライブラリを実装して簡単に各種SNSのoauth認証が実装できる
基本的に認証のみを実装するため、その他にAPIなど呼び出す必要がある場合は独自で実装する必要がありそう。
面倒な認証を速攻で実装できるので使用する価値はありそう。
FuelPHPも対応しているので、Githubから落としてそれぞれのファイルを規定の場所に配置して設定をしたらできそう。
設定は各種SNSサイトで登録すると取得できるアプリケーションIDやらアプリケーションシークレットやら。
大元のファイルを配置してFuelPHPに取り込んだら後は取り込みたいストラテジー(各種SNSのことのよう)のソースを落として配置したら追加していくこともできそう。
公式サイト:http://opauth.org/
FuelPHPコード:https://github.com/andreoav/fuel-opauth
<<対応フレームワーク>> ※公式サイトから抜粋
- vanilla (plain) PHP applications (of course)
- CakePHP (maintained by uzyn)
- CodeIgniter (maintained by destinomultimedia)
- CodeIgniter (maintained by mcatm)
- FuelPHP (maintained by andreoav)
- Yii Framework (maintained by kahwee)
<<対応SNS>> ※公式サイトから抜粋
| Strategy | Info | Download | |
|---|---|---|---|
 Facebook |
uzyn/opauth-facebook | ZIP / TAR | Try me! |
 Google |
uzyn/opauth-google | ZIP / TAR | Try me! |
 Twitter |
uzyn/opauth-twitter | ZIP / TAR | Try me! |
 Bitbucket |
fancyguy/opauth-bitbucket | ZIP / TAR | Try me! |
 Disqus |
rasa/opauth-disqus | ZIP / TAR | |
 Do |
pocket7878/opauth-do | ZIP / TAR | |
 Flickr |
pocket7878/opauth-flickr | ZIP / TAR | Try me! |
 Foursquare |
pocket7878/opauth-foursquare | ZIP / TAR | |
 GitHub |
uzyn/opauth-github | ZIP / TAR | Try me! |
 Instagram |
muhdazrain/opauth-instagram | ZIP / TAR | Try me! |
 LinkedIn |
uzyn/opauth-linkedin | ZIP / TAR | Try me! |
 (Windows) Live |
uzyn/opauth-live | ZIP / TAR | Try me! |
 mixi |
ritou/opauth-mixi | ZIP / TAR | |
 PayPal |
24hours/opauth-paypal | ZIP / TAR | |
 Sina Weibo |
dgrabla/opauth-sinaweibo | ZIP / TAR | |
 OpenID |
uzyn/opauth-openid | ZIP / TAR | Try me! |
coffee-break
スタンプ発売中
スプリットカメラ iOS / Android
音声認識で聞いた日付から曜日当てアプリ Android
ソーシャルタイマー Android
スポンサードリンク
スポンサードリンク
