2008-12-11

ケータイサイトでの認証とかについて実装「かんたんログイン」編

php ケータイ

ケータイサイトでの認証とかについて「かんたんログイン」 - お前の予定!! 日記の続き物

ケータイの個体識別番号(uid)が欲しい場合、NTTドコモではurlの引数に"guid=ON"をつけなくてはいけない。認証をする時には必ず指定する。

<a href="actionLogin.php?guid=ON">ログイン</a>

UserAgentの判定

uidの取得方法が携帯キャリアによって異なるので、uidを使うときにはUserAgentの判定も同時におこないます。
PEAR::Net_UserAgent_Mobileを使うのが楽です。

<?php
require_once('Net/UserAgent/Mobile.php');
$agent = Net_UserAgent_Mobile::factory();
$uid = $agent->getUID();
if ( is_null($uid) && $agent->isSoftBank() ) {
   $uid = $agent->getSerialNumber();
}
?>

iモードIDだけを使うことを前提にすると、コレだけでuidを取得できます。だた、ソフトバンクではHTTP拡張ヘッダX-JPHONE-UIDを送らない機種もあるのでちょっとスマートじゃないですね。

お前の予定！では学習目的に書き起こしました。UserAgentのキャリア判定を自動にして共通のメソッドgetKeitaiId()で「識別する番号(uidもしくは端末製造番号)」を取得できるようにしました。

<?php
require_once('Keitai.class.php');
$ua = Keitai::factory();
$uid = $ua->getKeitaiId();
?>

Keitai.class.phpはこちら

2008-12-10

ケータイサイトでの認証とかについて「セッション」

php ケータイ

セッション

ケータイサイトでの認証とかについて「かんたんログイン」 - お前の予定!! 日記では、NTTドコモの仕様に合わせてページ遷移を考えればよいと書いたのですが、すべてのリンクに"guid=ON"と書くのはイマイチ感があったりする。
ケータイ専用に作ってしまえばそれでイイのかもしれないけど、同じページをPCにも出したいなとか欲張るとセッションをつかってなんとかしたいなとか思います。

google:セッション管理の概要についてはグーグル先生におまかせするとして。ケータイ向けにセッションを使おうとするとCookieが使えないので、PC向けとは違った対策が必要になってくる。

php.ini で session.use_trans_sid = 1
- Cookieを使わなくても自動的にセッションidをサイト内リンクに付加する。
- ただし、コレだけだとセッションidの漏洩につながる。
セッションidをページ更新のたびにセッションidを再生成する
- セッションid漏洩対策なのだが、ブラウザの「戻る」「進む」が使えなくなる。
iモードidに依存することでセッションを管理しないという手も再考すべきかも
- すべてのリンクに"guid=ON"を埋め込むようにする。

セッションidの再生成

リクエストごとにセッションidを作り直すための関数をつくる。session_regenerate_id()で新しいセッションidと置き換えられるのだが、一筋縄ではいかないらしいので以下のようなコードを用意する。
セッションidを再生成するたびに、セッション情報を書き込むファイルがサーバーに溜まっていきます。なので古いセッション情報ファイルも削除します。

cf)
- http://tdiary.ishinao.net/20060825.html
- http://www.tymy.net/~matsu/blog/2008/11/16/php%E3%82%BB%E3%83%83%E3%82%B7%E3%83%A7%E3%83%B3%E3%81%AEgc/

<?php
    function sessionRegenerate() {
        $tmp = $_SESSION;
        $old_id = session_id();
        session_destroy();
        session_start();
        session_regenerate_id(true);
        $old_session_file = session_save_path()."/sess_".$old_id;
        if ( file_exists($old_session_file) ) unlink($old_session_file);
        $_SESSION = $tmp;
    }
?>

考慮しないといけないこと

セッションidが漏洩しちゃう
- セッションID付きURLが Bot にインデックスされる等で、セッションID漏えい問題に対応したい - 基本へ帰ろう
  1. 検索エンジンのクローラがセッションid付きのURLを登録しちゃう
  2. 他のサイトへのリンクでリファラ経由でURL(セッションid付き)が渡ってしまう
  3. 自分の見ているページのURL(セッションid付き)を他人にメールで教えちゃう
  4. ソーシャルブックマークとかに登録しちゃう
キャリアごとにCookieの挙動がちがうよ
- 携帯の端末IDとCookieのまとめ | ueblog
  1. NTTドコモは全機種非対応
  2. au KDDIは全機種対応。CookieはEZweb ゲートウェイサーバに保存されるが、SSL通信時は端末に保存される（WEP2.0端末以降のみ）
  3. ソフトバンクモバイルはW型、3GC型のみ対応。Secure Cookieに対応。
- auのSSLでのCookieの挙動がおかしい - maru.cc@はてな
- au,SoftBankでSSLでCookieセッションを使用する場合の問題点 - maru.cc@はてな
SSL通信まで考慮するともう大変
- 第35回PHP勉強会に参加してきた - maru.cc@はてな
  1. auがSSL領域でUTF-8が使えないのはなんでだろう？

2008-12-09

ケータイサイトでの認証とかについて「かんたんログイン」

php ケータイ

かんたんログイン

携帯キャリアが提供している個体識別番号を使っていわゆる「かんたんログイン」機能を作ることが出来ます。mixiとかはてなでも使っているアレです。UserAgentやらHTTP拡張ヘッダやらをいじらないといけないのでライブラリ（クラス）を作りました。PEAR::Net_UserAgent_Mobileでも使っておけば簡単なんです。

http://d.hatena.ne.jp/ya--mada/20080402/1207119266

でも実際には、UAやらヘッダの話だけで済まないのがちょっと面倒です。NTTドコモ、KDDI、ソフトバンクモバイルの各社それぞれで異なる仕様で提供しています。
大雑把にいえば

NTTドコモ
- リンクに仕込みを入れてやらないと取得できない。
au KDDI
- ユーザーが設定さえしていれば常に取得できる。
ソフトバンクモバイル
- ユーザーが設定さえしていれば常に取得できる。

ようするにドコモに合わせてページ遷移を考えろってこと。

細かくはこういう感じ

NTTドコモ
- iモードID：HTTP拡張ヘッダ X-DCMGUID で値を受け取る。契約者に付随する番号。
  - url引数にパラメータ"guid=ON"を与えてユーザーからのリクエストに紛れ込ませないといけない。
  - iモードのiメニュー設定によってiモードidの通知の可否を設定する。ので設定していないユーザーに対しては不親切。(参照 nttdocomo.co.jp)
- 携帯製造番号＆FOMAカード製造番号：HTTPヘッダ USER-AGENT 内に挿入されている。端末(ハードウェア)に付随する番号。
  - <a>タグの属性として"utn"を指定することでユーザーからのリクエストに紛れ込ませないといけない。
  - utnでリクエストをする度にユーザーに対して送信確認のダイアログが表示される。鬱陶しいよね？
au KDDI
- EZ番号(サブスクライバID)：HTTP拡張ヘッダ X-UP-SUBNO で値を受け取る。契約者に付随する番号。
  - 常に拡張ヘッダを送信している。
  - auOneのお客様サポートから「申し込む/変更する」より通知設定をする。初期設定では「通知する」になっている。
ソフトバンクモバイル
- ユーザID：HTTP拡張ヘッダ X-JPHONE-UID で値を受け取る。契約者に付随する番号、たぶん。
  - 3GシリーズからはユーザIDを使うことが出来る。
  - ソフトバンクモバイルのサイトでは公開されていない。開発者向け情報としては一部提供されているか？ここ
  - 常に拡張ヘッダを送信している。
  - ユーザーID通知設定にて通知登録する。
- 端末シリアル番号：HTTPヘッダ USER-AGENT 内に挿入されている。端末（ハードウェア）に付随する番号。
  - 3Gシリーズ以前の端末はこちらを使用する。
  - 端末のユーザーID通知がONになっている必要がある。
  - 通知設定がされていれば USER-AGENT内に常に挿入される。

2008-12-08

Keitai_IP_List.class.php を更新

php ケータイ

お前の予定！では、携帯のUserAgent判定にPEAR::Net_UserAgent_Mobileクラスをパクッた判定クラスを使っています。
この中にアクセス元がケータイからのipアドレスかどうかを判定するメソッド Keitai_Common::isValidIp() があります。ここで使用するipアドレスのリストを最新のものに更新しました。

携帯電話のキャリアがwebアクセスの際に使用するゲートウェイ ipアドレス帯域リストのURL