PHPでのOpenIDを利用したログイン認証の実装について。

OpenIDの概要は調べるかWebの分散ID認証システムについてにて。とりあえず実装してみて、という感じなので間違っていたら指摘お願いします。

OpenID EnabledのPHP用ライブラリを利用する。

他にもVidentity.orgやPHP ClassesにOpenIDのライブラリはあるが更新が止まっていたり簡易的なものだったりするのでOpenID Enabledのものを使用。

実行環境

• WindowsXP SP2
• PHP 5.2.3
• PHP OpenID Library 2.0.0-rc2

PHP OpenID Library 1.x.x系統と若干実装が違うので互換性は無い。

サンプルを動かしてみる

ライブラリを解凍するとexamplesディレクトリがある、コンシューマ側なのでexamples/consumerを実行してみる。

OpenID関連で生成されるファイル格納ディレクトリが作れないとエラーが出た。デフォルトで「/tmp/_php_consumer_test」に作るようになっているので「/tmp」を作ってやる（Windowsで「/tmp」は、Dドライブで実行しているなら「D:\tmp」）。

次にOpenIDで使用する暗号生成部でエラーになった。追ってみるとデフォルトで「/dev/urandom」を使用するようになっている。「/dev/urandom」はカーネル乱数ジェネレータでWindowsには無い。

定数Auth_OpenID_RAND_SOURCEがNULLの場合、PHP内で乱数を生成するのでWindowsの場合は先に以下のようにNULLで定数定義する。

<?php
// Windowsの場合カーネル乱数ジェネレータを使用しない
if (!strncmp(PHP_OS, 'WIN', 3)) {
    define('Auth_OpenID_RAND_SOURCE', NULL);
}

この2点の変更で動作確認は出来た。確認にはOpenID.ne.jpを使用。

OpenIDでの認証をアプリケーションに組み込むために

組み込む為には入力されたIDとアプリケーションのデータ（会員ID）を結び付ける必要がある。

先に会員登録としてOpenIDを入力させて登録させる形式より、先に認証をおこない認可された場合ログインフラグを立ててアプリケーションデータと比較し、無ければ入力したIDと取得したデータ（ニックネームやメールアドレス）を登録する方がOpenIDで管理している情報を利用できるのでスマート。

取得したデータ以外に必要な情報があれば、認証時に登録画面に遷移。OpenID1.0で登録できる情報はE-mail、ニックネーム、氏名、性別、国籍、郵便番号、言語、生年月日。OpenID2.0ではプロトコルにXRIが使えてもう少し詳細な情報がやりとりできるらしい。

ユーザーから入力されたIDと結果として取得できるIDは違う場合があるので認証リダイレクト前に一度セッションに格納してから認可後にセッションから取得した値をアプリケーション側に登録する必要がある。

Zend Frameworkで使用

軽くラッピングしてZend Frameworkで使ってみた。

とりあえずザッと書いて動かしてみたものを以下に。

Zend_Controller_Actionを継承してpreDispatch()に認証処理を実装、実際のControllerはこのクラスを継承する。デフォルトで認証をおこなうようになっているので、認証が必要ない場合は$this->checkLogin = false;でオーバーライド。

<?php
class Sample_Controller_Action_Base extends Zend_Controller_Action {
    /**
     * @var bool ログインチェックフラグ
     */
    protected $checkLogin = true;

    /**
     * @var Zend_Session
     */
    public $session;

    /**
     * 初期化
     */
    public function init() {
        $this->session = new Zend_Session_Namespace();
    }

    /**
     * preDispatch
     */
    public function preDispatch() {
        // ログイン認証
        if ($this->checkLogin && !$this->session->login) {
            $auth = new Sample_Auth_OpenID();

            if (!empty($_REQUEST['openid_url'])) {
                $this->session->openid_url = $_REQUEST['openid_url'];
                $process_path = '/home'; // 適当に遷移に合わせて

                $auth->authenticate($_REQUEST['openid_url'], $process_path);
            }

            // 認可結果判別
            if ($auth->checkResult()) {
                // 認可時
                $this->session->login = true;

                echo $this->session->openid_url;
                print_r($auth->getContents());
            } else {
                // 拒否/失敗
                $this->session->destroy();
                echo 'Auth failed...';
            }
        }
    }
}

で、以下がOpenIDの認証用クラス。といってもexample纏めた程度。

<?php
class Sample_Auth_OpenID {
    /**
     * @var Auth_OpenID_Consumer
     */
    protected $_consumer = NULL;

    /**
     * OpenID関連で生成されるファイル格納ディレクトリパス
     * @var string
     */
    public $_store_path = "/tmp/_php_consumer";

    /**
     * 承認フラグ
     * @var bool
     */
    protected $_valid = false;

    /**
     * 認証レスポンス
     * @var object
     */
    protected $_response = NULL;

    /**
     * 取得内容
     * @var array
     */
    protected $_contents = array();

    /**
     * コンストラクタ
     */
    public function __construct() {
        // Windowsの場合カーネル乱数ジェネレータを使用しない
        if (!strncmp(PHP_OS, 'WIN', 3)) {
            define('Auth_OpenID_RAND_SOURCE', NULL);
        }

        if (!file_exists($this->_store_path) && !mkdir($this->_store_path)) {
            die("Could not create the FileStore directory");
        }

        $this->_consumer = new Auth_OpenID_Consumer(new Auth_OpenID_FileStore($this->_store_path));

        require_once "Auth/OpenID/SReg.php";
    }
    /**
     * OpenIDによる認証
     *
     * @param string $checkid
     * @param string $process_path
     * @return bool 認証失敗時
     */
    public function authenticate($checkid, $process_path) {
        // 接続スキーマ
        $scheme = 'http';
        $scheme = (isset($_SERVER['HTTPS']) and $_SERVER['HTTPS'] == 'on') ? 'https' : 'http';

        // 承認URL
        $trust_root = sprintf("$scheme://%s:%s%s",
        $_SERVER['SERVER_NAME'], $_SERVER['SERVER_PORT'],
        dirname($_SERVER['PHP_SELF']));

        // 承認後リダイレクト先URL
        $process_url = $trust_root . $process_path;

        // 認証開始
        $auth_request = $this->_consumer->begin($checkid);

        // 入力されたOpenIDが使用出来ず失敗
        if (!$auth_request) {
            return false;
        }

        // 認証時に取得するデータ
        $sreg_request = Auth_OpenID_SRegRequest::build(
                                     // Required
                                     array('nickname'),
                                     // Optional
                                     array('fullname', 'email'));

        if ($sreg_request) {
            $auth_request->addExtension($sreg_request);
        }

        // 承認の為リダイレクト
        if ($auth_request->shouldSendRedirect()) {
            $redirect_url = $auth_request->redirectURL($trust_root, $process_url);

            // If the redirect URL can't be built, display an error
            // message.
            if (Auth_OpenID::isFailure($redirect_url)) {
                displayError("Could not redirect to server: " . $redirect_url->message);
            } else {
                // Send redirect.
                header("Location: ".$redirect_url);
                exit;
            }
        }
    }

    /**
     * 認証結果判別
     *
     * @return bool 認証可否
     */
    public function checkResult() {
        $this->_response = $this->_consumer->complete();

        // 認可時のみ値セット
        if ($this->_response->status == Auth_OpenID_SUCCESS) {
            $this->_valid = true;
            $this->_contents = Auth_OpenID_SRegResponse::fromSuccessResponse($this->_response)->contents();

            $id = ($this->_response->endpoint->canonicalID) ? $this->_response->endpoint->canonicalID : $this->_response->identity_url;
        }

        return $this->isValid();
    }

    /**
     * @var bool 認可結果
     */
    public function isValid() {
        return $this->_valid;
    }

    /**
     * @return array 取得情報
     */
    public function getContents() {
        return $this->_contents;
    }
}

認証APIやプロトコル仕様が乱立してるけど何が主流になるやら。

__autoload()が早いというよりも、class_exists()に比べてrequre_once()、include_once()が遅いからというもの（クラスの読み込み判定の場合）。

通常__autoload()内でクラスの有無を調べて無ければ読み込みを行う。一度しか呼ばれないものならその場で読み込んだほうが早いが、複数回読み込み判定がおこなわれるものがある場合（Superクラスなど）一度autoload経由でclass_exists()の篩いにかけた方が良い。

PHP5のフレームワークではほとんどautoload系の読み込み実装がなされている事からも、その差は結構大きいので不特定回数読み込まれるファイルが多数ある場合は注意。

以下の動作環境で最も単純なクラス( class Sample{} )を1000回読み込んでインスタンス生成した場合、class_exists()で見つからなければrequire()と、常にrequire_once()だと100倍以上差があった。

• PHP 5.2.3
• WindowsXP SP2
• AMD Athlon™ 64 Processor 3500+ 1.79GHz
• 2.00GB RAM

1000回require_once() – 0.450819秒

<?php
for ($i=0;$i<1000;$i++) {
    require_once('Sample.php');
    $sample = new Sample();
}

----------------------------------------------------
marker  time index            ex time         perct
----------------------------------------------------
Start   1193042528.49833500   -                0.00%
----------------------------------------------------
Stop    1193042528.94915400   0.450819       100.00%
----------------------------------------------------

999回class_exists(), 1回require() – 0.003704秒

<?php
for ($i=0;$i<1000;$i++) {
    if (!class_exists('Sample', false)) {
        require('Sample.php');
    }
    $sample = new Sample();
}

----------------------------------------------------
marker  time index            ex time         perct
----------------------------------------------------
Start   1193042740.50069500   -                0.00%
----------------------------------------------------
Stop    1193042740.50439900   0.003704       100.00%
----------------------------------------------------

require()よりinclude()の方が早いのでinclude()にすればもう少し差は縮まるものの、なぜPHPのautoload()が早いかというとautoloadをclass_existsな実装で書く事が多いからであり、autoloadの中で全てrequire_once()していたら別に早くないという事。

クラス名の_をディレクトリとするPEAR風構成のオートローダーならZend FrameworkのZend_Loderがすぐ導入できます（Zend_LoaderとZend_Exceptionの2つで）。

環境違うと全然違うよ、な状態なら教えてください。

SmartyはPHPのテンプレートエンジンでは最も有名で利用者も多いが重い。

TemplateLiteはLGPLライセンスのSmarty互換テンプレートエンジンでSmartyより早いとのこと。PHP5.1.1でSmartyとのベンチマーク比較を見る限りテンプレートで色々やってると結構差が出そう。

公式に書かれている、「TemplateLiteを使うべき7つの理由（意訳）」

1. Smartyよりコンパイルが早い
2. Smartyより表示が速い
3. Smartyと比較してメモリ使用量が少ない
4. Smartyの機能のほとんどをサポート
5. Smartyの代替となる
6. 各リリースに合わせて機能追加される
7. 活発な開発プロジェクト

6.の「各リリース」というのはSmartyに合わせてという事かな。気になるなら原文参照。

使い方もSmartyと同じなのでSmartyの重さが気になっているなら丁度良い代替になりそう。ZendFrameworkのViewとして使う場合も、Smartyの部分をTemplateLiteに置き換えればそのまま動作する。

単純なページだとそこまで差が出ないので、純粋にincludeのコストが気になる場合はSimplateなどの PHP Extention なテンプレートエンジンを使った方が良い。

以下ZendFrameworkのViewRenderer用クラス。ZendFrameworkの別テンプレートエンジン使用方法はZend FrameworkのViewをSmartyに変更するにはを参照。

<?php
require_once 'Zend/View/Interface.php';
require_once 'class.template.php';

class Sample_View_TemplateLite implements Zend_View_Interface
{
    /**
     * TemplateLite object
     * @var Template_Lite
     */
    protected $_templateLite;

    /**
     * コンストラクタ
     *
     * @param string $tmplPath
     * @param array $extraParams
     * @return void
     */
    public function __construct($tmplPath = null, $extraParams = array())
    {
        $this->_templateLite = new Template_Lite;

        if (null !== $tmplPath) {
            $this->setScriptPath($tmplPath);
        }

        foreach ($extraParams as $key => $value) {
            $this->_templateLite->$key = $value;
        }
    }

    /**
     * テンプレートエンジンオブジェクトを返します
     *
     * @return Template_Lite
     */
    public function getEngine()
    {
        return $this->_templateLite;
    }

    /**
     * テンプレートへのパスを設定します
     *
     * @param string $path パスとして設定するディレクトリ
     * @return void
     */
    public function setScriptPath($path)
    {
        if (is_readable($path)) {
            $this->_templateLite->template_dir = $path;
            return;
        }

        throw new Exception('無効なパスが指定されました');
    }

    /**
     * 現在のテンプレートディレクトリを取得します
     *
     * @return string
     */
    public function getScriptPaths()
    {
        return $this->_templateLite->template_dir;
    }

    /**
     * setScriptPath へのエイリアス
     *
     * @param string $path
     * @param string $prefix Unused
     * @return void
     */
    public function setBasePath($path, $prefix = 'Zend_View')
    {
        return $this->setScriptPath($path);
    }

    /**
     * setScriptPath へのエイリアス
     *
     * @param string $path
     * @param string $prefix Unused
     * @return void
     */
    public function addBasePath($path, $prefix = 'Zend_View')
    {
        return $this->setScriptPath($path);
    }

    /**
     * 変数をテンプレートに代入します
     *
     * @param string $key 変数名
     * @param mixed $val 変数の値
     * @return void
     */
    public function __set($key, $val)
    {
        $this->_templateLite->assign($key, $val);
    }

    /**
     * 代入された変数を取得します
     *
     * @param string $key 変数名
     * @return mixed 変数の値
     */
    public function __get($key)
    {
        return $this->_templateLite->get_template_vars($key);
    }

    /**
     * empty() や isset() のテストが動作するようにします
     *
     * @param string $key
     * @return boolean
     */
    public function __isset($key)
    {
        return (null !== $this->_templateLite->get_template_vars($key));
    }

    /**
     * オブジェクトのプロパティに対して unset() が動作するようにします
     *
     * @param string $key
     * @return void
     */
    public function __unset($key)
    {
        $this->_templateLite->clear_assign($key);
    }

    /**
     * 変数をテンプレートに代入します
     *
     * 指定したキーを指定した値に設定します。あるいは、
     * キー => 値 形式の配列で一括設定します
     *
     * @see __set()
     * @param string|array $spec 使用する代入方式 (キー、あるいは キー => 値 の配列)
     * @param mixed $value (オプション) 名前を指定して代入する場合は、ここで値を指定します
     * @return void
     */
    public function assign($spec, $value = null)
    {
        if (is_array($spec)) {
            $this->_templateLite->assign($spec);
            return;
        }

        $this->_templateLite->assign($spec, $value);
    }

    /**
     * 代入済みのすべての変数を削除します
     *
     * Zend_View に {@link assign()} やプロパティ
     * ({@link __get()}/{@link __set()}) で代入された変数をすべて削除します
     *
     * @return void
     */
    public function clearVars()
    {
        $this->_templateLite->clear_all_assign();
    }

    /**
     * テンプレートを処理し、結果を出力します
     *
     * @param string $name 処理するテンプレート
     * @return string 出力結果
     */
    public function render($name)
    {
        return $this->_templateLite->fetch($name);
    }
}

そのまんまですが。

分散認証システム関係の話。

あるユーザーの本人確認が必要な時に結果的に必要なものは「本人かそうでないか」。その結果を得るためにIDやメールアドレスやパスワードなどの組み合わせで判別する。アプリケーション毎にその判別を行うと当然判別に必要な情報もアプリケーション数だけ必要になる。

本人確認の結果だけが分かればいいなら認証をどこか別でおこなって結果を受け取ればいい。ではどこで認証をおこない、どうやって結果の受け渡しをするのか？

Web（UserAgentベース）の分散ID認証システムではURL・XRI・Sxipなど（以下URI）をIDとして使用する。認証はIDに結び付けられた認証サーバーでおこない、何を元に本人判別するかは完全にその認証システムに委ねられる。

一般的には認証先でID・パスワードなどを用いてログインして認証リクエストを許可する事により認証成功という結果が返る。例えばhttp://takahashimeijin.com/というIDで1秒間に16回クリック出来れば認証成功ということも出来る。IDと認証サーバーに関連性は必要無い（このURIの認証サーバーはここだ、という情報はIDとなるURIのページ中に記す）。これによりIDと認証サーバーを分離出来るのでURIを保持している限り認証サーバーに依存する事なく恒常的にIDを使用出来る事になる。

あるIDで認証しようとした場合、そのIDはどの認証サーバーを使用して結果として何が返るかは、

OpenIDやLIDなどのURIベースの認証プロトコルが仕様として決められている。仕様毎に実装が異なるので、URIがどの仕様でどうやって識別すれば良いかはYadisという仕様で決められている。

この形態での認証が一般化すれば、アプリケーション側でログイン識別子を持たなくても良くなり、ユーザーは1つのIDで複数のサービスが利用出来るようになる。利点だけで全く問題（課題）が無いわけではないけれど。

間違ってる所があれば指摘していただくという事で基本的な纏め。

実際の実装レベルの話と細かい仕様についてはまた別エントリにて。最近OpenIDが一番勢いがあるようなのでOpenID関係かな。

PHPでちょっと値を確認したい場合に良く使われるechoやらprint_rやらvar_dumpやら、インタプリタ言語ならすぐに確認できるのが良い。その表示を綺麗に整形してくれるライブラリを2つ、と自分用(主にバッチ処理などで)使っているもの。

dBug

• 文字列、配列、オブジェクト、DBリソース、XMLに対応
• JavaScriptで要素の折り畳み切替
• どの形式の場合も同じ呼び出し方

実行方法

new dBug($myVariable);

debuglib.php

• 配列、オブジェクトに対応した print_a関数
• $_POST, $_GET, $_SESSION, $_COOKIEを表示する show_vars関数
• 開発2004年で止まっている

実行方法

print_a($myArray);
show_vars();

Super Aliase Mode

• print_rやvar_dumpのエイリアス集
• エイリアス関数の最終引数に1を渡せばそのままexitする
• CLIで動作時のみ対話型配列インデックスサーチと配列more表示

プリントデバッグで良く使う関数を1文字にしたものと、良く使う処理を2～3文字にしたもの。

• CLIで動作時のみ使える関数 p_s() と p_d()

渡した配列のIndexを入力するとその内容をprint_rするp_s()、何かキーを押すたびに1つずつ要素をprint_rする p_d、で対話モードに入れる。

実行方法

p($myArray);
v($myArray);
ec($myArray, 1);
fje($myArray, ",", 1);
m(); // メモリ使用量をMBで表示

適当にどうぞ。