OpenPNE 3

Overview (概要)¶

Add ability to publish UID each sites for authentication in mobile.

サイト毎の UID を携帯電話における認証のために発行できるようにする。

Background (背景)¶

Japanese mobile phones provide the unique ID belonging to a Web site visitor. All Web sites can get the same ID.

Almost the Japanese Web sites for mobile phone realize the "かんたんログイン" (easy-login) feature by using only this ID.

However, as mentioned above, that ID is not a secret information. Generally, authentication by using only public informations is not possible.

Actually, that authentication is possible by relying the following things:

• Japanese mobile phones are low functionality, so most of them don't have ways of changing HTTP headers (that ID is in the headers) manually and using JavaScript
• Accesses from Japanese mobile phones to Web site are usually from the gateways of a carrier

So, we make sure the REMOTE_ADDR (the user's IP address) that is IP address of the carrier's gateway, for checking the UID is trusted.

But this way is not perfect. This way and that gateway's IP addresses are unwarranted.

As just described, authentication by mobile UID is too wobbling, so we should replace to other authentication ways.

日本の携帯電話は Web サイトの訪問者に基づいたユニーク ID (OpenPNE では「携帯電話個体識別番号」と呼称、以下同じ） を発行する。すべての Web サイトで同じ ID が取得できる。

携帯電話向けの日本のほとんどの Web サイトでは、この携帯電話個体識別番号のみを使用することで「かんたんログイン」機能を実現している。

しかし、この携帯電話個体識別番号は前述のとおり秘密情報ではない。一般的に、公開情報だけでの認証は成り立たない。

実際のところ、この認証は以下の点を拠り所にすることで可能になっている:

• 日本の携帯電話は低機能で、ほとんどの携帯電話には HTTP ヘッダを手動で変更（ID はヘッダに存在する）したり、 JavaScript を使用したりする方法が存在しない
• 日本の携帯電話から Webb サイトへのアクセスは、通常キャリアのゲートウェイを通しておこなわれる

つまり、携帯電話個体識別番号が信頼できるものかどうかをチェックするために、 REMOTE_ADDR (ユーザの IP アドレスの値) がキャリアのゲートウェイのものかどうかを確認している。

しかしこれは完全ではない。この手法やキャリアのゲートウェイの IP アドレスは何ら保証されていない。

このように携帯電話個体識別番号による認証はとても不安定であるので、他の認証方法への置き換えをおこなうべきである。

Spec (仕様)¶

• Add ability to publish UID each sites and storing this to Cookie
• Add ability to change UID by user request