Coding Samples, Tutorials, Code Snippets, Articles, How-To`s - From Beginners to Expert. Stay tuned.
Share your knowledge. Regardless what experience you have made with the Zend Framework - Let all benefit.

Search Manual:

Please Sign in or Register

Available Languages

 


Manual for Zend Framework 1.0.3

3.4. HTTP 認証アダプタ
前のページ  第3章 Zend_Auth  次のページ

3.4. HTTP 認証アダプタ

3.4.1. 導入

Zend_Auth_Adapter_Http は、 RFC-2617ベーシックダイジェスト HTTP 認証にほぼ準拠した実装を提供します。ダイジェスト認証とは HTTP 認証方式のひとつで、パスワードを平文でネットワークに送信する必要がないという点で ベーシック認証より優れています。

主な機能

  • ベーシック認証およびダイジェスト認証の両方のサポート

  • サポートしているすべてのスキームを試みるので クライアントは、サポートする任意のスキームで応答可能

  • プロキシ認証のサポート

  • テキストファイルを用いた認証のサポート、 あるいはデータベースなどのその他のソースによる認証用インターフェイスの提供

RFC-2617 の機能のうち、以下についてはまだ実装されていません。

  • nonce 値を追いかけることによる "stale" のサポート、 および再試行攻撃への防御

  • 整合性チェックを含む認証 "auth-int"

  • Authentication-Info HTTP ヘッダ

3.4.2. 設計の概要

このアダプタはふたつのサブコンポーネントで構成されています。 ひとつは HTTP 認証クラス自身、そしてもうひとつはいわゆる "リゾルバ" です。 HTTP 認証クラスは、ベーシック認証およびダイジェスト認証を扱うロジックをカプセル化します。 このクラスは、リゾルバを使用してなんらかの保存データ (デフォルトはテキストファイル) からクライアントの ID を探します。認証データが "解決" されると、クライアントから送信された値に基づいて認証が成功したかどうかを判断します。

3.4.3. 設定オプション

Zend_Auth_Adapter_Http クラスのコンストラクタには、 設定配列を渡す必要があります。使用可能なオプションはいくつかあり、 その中には必須のものもあります。

表 3.1. 設定オプション

オプション名 必須かどうか 説明
accept_schemes Yes そのアダプタがクライアントからどの認証スキームを受け取るのかを設定します。 'basic''digest' を含む空白区切りの文字列でなければなりません。
realm Yes 認証レルムを設定します。ユーザ名は、指定したレルム内で一意でなければなりません。
digest_domains 'accept_schemes''digest' を含む場合は Yes 空白区切りの URI のリストで、同じ認証情報が有効となる場所を指定します。 URL は同一サーバ上でなくてもかまいません。
nonce_timeout 'accept_schemes''digest' を含む場合は Yes nonce の有効期限を秒数で指定します。以下の注意を参照ください。
proxy_auth No デフォルトでは無効です。有効にすると、 元のサーバの認証のかわりにプロキシで認証を行います。


[注意] 注意

現在の nonce_timeout の実装には、いくつかの副作用があります。 この設定は、指定した nonce の有効期限、 つまり事実上はクライアントの認証情報の有効期限を指定するためのものです。 現在は、これを (たとえば) 3600 に設定すると、 一時間ごとに新しい認証をクライアントに要求するようアダプタに設定します。 これは将来のリリースで nonce の追跡と stale のサポートを実装した時点で解決する予定です。

3.4.4. リゾルバ

リゾルバの仕事は、ユーザ名とレルムを受け取って何らかの証明を返すことです。 ベーシック認証では、ユーザのパスワードを Base64 でエンコードしたものを受け取ります。 ダイジェスト認証では、ユーザ名、レルムおよびパスワード (をコロンでつなげたもの) のハッシュを受け取ります。 現在サポートしているハッシュアルゴリズムは MD5 のみです。

Zend_Auth_Adapter_Http Zend_Auth_Adapter_Http_Resolver_Interface を実装したオブジェクトを使用しています。 このアダプタにはテキストファイル用のリゾルバクラスが含まれていますが、 リゾルバインターフェイスを実装することで、 その他のリゾルバも簡単に作成できます。

3.4.4.1. File リゾルバ

ファイルリゾルバは、非常にシンプルなクラスです。 ファイル名を指定するプロパティを保持しており、 コンストラクタでこれを指定することができます。 resolve() メソッドはテキストファイルを走査し、 ユーザ名とレルムにマッチする行を探します。テキストファイルのフォーマットは Apache の htpasswd ファイルと似た形式で 

<username>:<realm>:<credentials>\n

のようになります。個々の行は ユーザ名、レルムおよび認証情報の三つのフィールドで構成されており、 それらがコロンで区切られています。リゾルバは認証情報フィールドの内容を理解することはできません。 取得した値をそのまま呼び出し元に返します。したがって、 同じ形式でベーシック認証およびダイジェスト認証の両方に対応できます。 ベーシック認証では、このフィールドはユーザのパスワードを Base64 でエンコードしたものになります。 ダイジェスト認証では、これは先ほど説明したような MD5 ハッシュとなります。

ファイルリゾルバを作成する方法は次の二通りで、どちらも同じくらい簡単です。まずは 

<?php
$path     = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File($path);

もうひとつは 

<?php
$path     = 'files/passwd.txt';
$resolver = new Zend_Auth_Adapter_Http_Resolver_File();
$resolver->setFile($path);

指定したパスが空だったり読み込みできなかったりした場合は、 例外をスローします。

3.4.5. 基本的な使用法

まず、必須設定項目を含む配列を作成します。 

<?php
$config = array(
    'accept_schemes' => 'basic digest',
    'realm'          => 'My Web Site',
    'digest_domains' => '/members_only /my_account',
    'nonce_timeout'  => 3600,
);

この配列は、アダプタに対してベーシック認証およびダイジェスト認証の両方を受け付けるように指定します。 また、/members_only および /my_account の配下では認証済みアクセスが必要となるようにします。 realm の値は、通常はブラウザのパスワードダイアログボックスに表示されます。 nonce_timeout は、もちろん、先ほど説明したとおりの振る舞いをします。

次に、Zend_Auth_Adapter_Http オブジェクトを作成します。 

<?php
require_once 'Zend/Auth/Adapter/Http.php';
$adapter = new Zend_Auth_Adapter_Http($config);

ベーシック認証およびダイジェスト認証の両方をサポートしているので、 ふたつのリゾルバオブジェクトを作成する必要があります。 これは、単にふたつの異なるクラスを作成するだけの簡単なことです。 

<?php
require_once 'Zend/Auth/Adapter/Http/Resolver/File.php';

$basicResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$basicResolver->setFile('files/basicPasswd.txt');

$digestResolver = new Zend_Auth_Adapter_Http_Resolver_File();
$digestResolver->setFile('files/digestPasswd.txt');

$adapter->setBasicResolver($basicResolver);
$adapter->setDigestResolver($digestResolver);

最後に、認証を行います。このアダプタは、 リクエストオブジェクトおよびレスポンスオブジェクトの両方を参照する必要があります。 

<?php
assert($request instanceof Zend_Controller_Request_Http);
assert($response instanceof Zend_Controller_Response_Http);

$adapter->setRequest($request);
$adapter->setResponse($response);

$result = $adapter->authenticate();
if (!$result->isValid()) {
    // ユーザ名/パスワードが間違っている、あるいはパスワード入力をキャンセルした
}

前のページ  上に戻る  次のページ
3.3. ダイジェスト認証  ホーム  第4章 Zend_Cache

Welcome!

Welcome to ZFResource - The Resource for the Zend Framework.
As you see, the website is in still in progress. Many features ( like Code Directory, Code Samples, User written Tutorials, Examples and News,...) will be online in near future.
At the moment, you can search and browse the manual in your language of choice. Don't forget to come back later to benefit from the new features.


Help Wanted:

We are still searching for people want to help building this site. If you want to see this website in your language or you have any suggestions for this site please send us an email

Contact  |  CSS and XHTML  |  
© Copyright 2009 zendwork.com, Template by Solucija, Concept and Programming by Fritz Thomas