PHPでOpenIDによるログイン処理

PHPでのOpenIDを利用したログイン認証の実装について。

OpenIDの概要は調べるかWebの分散ID認証システムについてにて。とりあえず実装してみて、という感じなので間違っていたら指摘お願いします。

OpenID EnabledのPHP用ライブラリを利用する。

他にもVidentity.orgPHP ClassesにOpenIDのライブラリはあるが更新が止まっていたり簡易的なものだったりするのでOpenID Enabledのものを使用。

実行環境

  • WindowsXP SP2
  • PHP 5.2.3
  • PHP OpenID Library 2.0.0-rc2

PHP OpenID Library 1.x.x系統と若干実装が違うので互換性は無い。

サンプルを動かしてみる

ライブラリを解凍するとexamplesディレクトリがある、コンシューマ側なのでexamples/consumerを実行してみる。

OpenID関連で生成されるファイル格納ディレクトリが作れないとエラーが出た。デフォルトで「/tmp/_php_consumer_test」に作るようになっているので「/tmp」を作ってやる(Windowsで「/tmp」は、Dドライブで実行しているなら「D:\tmp」)。

次にOpenIDで使用する暗号生成部でエラーになった。追ってみるとデフォルトで「/dev/urandom」を使用するようになっている。「/dev/urandom」はカーネル乱数ジェネレータでWindowsには無い。

定数Auth_OpenID_RAND_SOURCEがNULLの場合、PHP内で乱数を生成するのでWindowsの場合は先に以下のようにNULLで定数定義する。

<?php
// Windowsの場合カーネル乱数ジェネレータを使用しない
if (!strncmp(PHP_OS, 'WIN', 3)) {
    define('Auth_OpenID_RAND_SOURCE', NULL);
}

この2点の変更で動作確認は出来た。確認にはOpenID.ne.jpを使用。

OpenIDでの認証をアプリケーションに組み込むために

組み込む為には入力されたIDとアプリケーションのデータ(会員ID)を結び付ける必要がある。

先に会員登録としてOpenIDを入力させて登録させる形式より、先に認証をおこない認可された場合ログインフラグを立ててアプリケーションデータと比較し、無ければ入力したIDと取得したデータ(ニックネームやメールアドレス)を登録する方がOpenIDで管理している情報を利用できるのでスマート。

取得したデータ以外に必要な情報があれば、認証時に登録画面に遷移。OpenID1.0で登録できる情報はE-mail、ニックネーム、氏名、性別、国籍、郵便番号、言語、生年月日。OpenID2.0ではプロトコルにXRIが使えてもう少し詳細な情報がやりとりできるらしい。

ユーザーから入力されたIDと結果として取得できるIDは違う場合があるので認証リダイレクト前に一度セッションに格納してから認可後にセッションから取得した値をアプリケーション側に登録する必要がある。

Zend Frameworkで使用

軽くラッピングしてZend Frameworkで使ってみた。

とりあえずザッと書いて動かしてみたものを以下に。

Zend_Controller_Actionを継承してpreDispatch()に認証処理を実装、実際のControllerはこのクラスを継承する。デフォルトで認証をおこなうようになっているので、認証が必要ない場合は$this->checkLogin = false;でオーバーライド。

<?php
class Sample_Controller_Action_Base extends Zend_Controller_Action {
    /**
     * @var bool ログインチェックフラグ
     */
    protected $checkLogin = true;

    /**
     * @var Zend_Session
     */
    public $session;

    /**
     * 初期化
     */
    public function init() {
        $this->session = new Zend_Session_Namespace();
    }

    /**
     * preDispatch
     */
    public function preDispatch() {
        // ログイン認証
        if ($this->checkLogin && !$this->session->login) {
            $auth = new Sample_Auth_OpenID();

            if (!empty($_REQUEST['openid_url'])) {
                $this->session->openid_url = $_REQUEST['openid_url'];
                $process_path = '/home'; // 適当に遷移に合わせて

                $auth->authenticate($_REQUEST['openid_url'], $process_path);
            }

            // 認可結果判別
            if ($auth->checkResult()) {
                // 認可時
                $this->session->login = true;

                echo $this->session->openid_url;
                print_r($auth->getContents());
            } else {
                // 拒否/失敗
                $this->session->destroy();
                echo 'Auth failed...';
            }
        }
    }
}

認証APIやプロトコル仕様が乱立してるけど何が主流になるやら。