OpenPNE 3

具体的な修正案を Pull Request しました。
セッションまわりの処理に変更を加えているため、一応チェックの上取り込んでいただければと思います。

https://github.com/kawahara/OpenPNE3/commit/708159d12065270dbbea8e494acd8ba34da67d74

取込みを作業を他の人にお願いしたいです

下記の動作を確認し、取り込みを行いました。
また、コーディング規約違反部分の修正も行いました。

1. SNSに自動ログインを有効にしてログイン
2. ブラウザ終了
3. 同ブラウザでSNSにアクセス
4. 同ブラウザ終了
5. 同ブラウザでSNSにアクセスしてログイン画面にならないことを確認

note-12の動作中におけるブラウザ側のCookieを確認しましたが，3の時点で自動ログイン用のCookieが削除された状態であることを確認しました．ここでソースを見てみると，自動ログイン用のCookieが変更される部分はlib/user/opSecurityUser.class.phpのsetRememberLoginCookie()です．該当箇所は以下のようになります．

lib/user/opSecurityUser.class.php

154  /**
155   * set remember login cookie
156   */
157   protected function setRememberLoginCookie($isDeleteCookie = false)
158   {
159     $key = md5(sfContext::getInstance()->getRequest()->getHost());
160     $path = sfContext::getInstance()->getRequest()->getRelativeUrlRoot();
161     if (!$path)
162     {
163       $path = '/';
164     }
165 
166     if ($isDeleteCookie)
167     {
168       if (!sfContext::getInstance()->getRequest()->getCookie($key))
169       {
170         return;
171       }
172 
173       if ($this->getMemberId())
174       {
175         $this->getMember()->setConfig('remember_key', '');
176       }
177 
178       $value = null;
179       $expire = time() - 3600;
180     }
181     else
182     {
183       $rememberKey = opToolkit::getRandom();
184       if (!$this->getMemberId())
185       {
186         throw new LogicException('No login');
187       }
188       $this->getMember()->setConfig('remember_key', $rememberKey);
189 
190       $value = base64_encode(serialize(array($this->getMemberId(), $rememberKey)));
191       $expire = time() + sfConfig::get('op_remember_login_limit', 60*60*24*30);
192     }
193 
194     sfContext::getInstance()->getResponse()->setCookie($key, $value, $expire, $path, '', false, true);
195   }
196 

このソースより，setRememberLoginCookie()の引数にtrueを渡す処理を行うとCookieが削除される動作が行われると思います．
そしてsetRememberLoginCooike()の引数にtrueを渡すのは同ファイル内logout()だけであることを確認しました．
このlogout()がどこのタイミングで呼び出されるかを確認するために以下の実験を行いました．

実験内容¶

ログ出力部分変更を加えてdev環境によってログを収集し，logout()が呼び出されるタイミングを確認する．

実験手順¶

1. SNSに自動ログインを有効にしてログイン
2. ブラウザ終了
3. ログ開始
4. 同ブラウザを立ち上げてSNSにアクセス
5. ホームを表示

ログ収集のための変更内容¶

diff --git a/lib/user/opSecurityUser.class.php b/lib/user/opSecurityUser.class.php
index 7d66a46..490b26f 100644
--- a/lib/user/opSecurityUser.class.php
+++ b/lib/user/opSecurityUser.class.php
@@ -289,6 +289,7 @@ class opSecurityUser extends opAdaptableUser
   {
     $authMode = $this->getCurrentAuthMode();

+    $this->dispatcher->notify(new sfEvent($this, 'application.log', array("opSecurityUser logout()")));
     $this->setRememberLoginCookie(true);

     $this->setAuthenticated(false);
@@ -329,6 +330,7 @@ class opSecurityUser extends opAdaptableUser

     if ($member instanceof opAnonymousMember || $member->getIsLoginRejected())
     {
+      $this->dispatcher->notify(new sfEvent($this, 'application.log', array(sprintf("%s || %s", get_class($member), $member->getIsLoginRejected()))));
       $this->logout();
       $isSNSMember = false;
     }

実験結果¶

結果は以下のとおり．ルーティングやレンダリングに関するログは省略．

Sep 28 21:14:22 symfony [info] {sfPatternRouting} Match route "homepage" (/) for / with parameters array (  'module' => 'member',  'action' => 'home',)
 9月 28 21:14:22 symfony [info] {myUser} opAnonymousMember ||
 9月 28 21:14:22 symfony [info] {myUser} opSecurityUser logout()
 9月 28 21:14:22 symfony [info] {myUser} User is not authenticated
 9月 28 21:14:22 symfony [info] {myUser} User is not authenticated
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "sfRenderingFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opCacheControlFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opCheckEnabledApplicationFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opAppendXRDSHeaderFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opRememberLoginFilter" 
 9月 28 21:14:22 symfony [info] {myUser} User is authenticated
 9月 28 21:14:22 symfony [info] {myUser} Add credential(s) "SNSMember" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "sfBasicSecurityFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opEmojiFilter" 
 9月 28 21:14:22 symfony [info] {sfFilterChain} Executing filter "opExecutionFilter" 
 9月 28 21:14:22 symfony [info] {memberActions} Call "memberActions->executeHome()" 
 9月 28 21:14:22 symfony [info] {memberActions} Change layout to "layoutA" 
 9月 28 21:14:22 symfony [info] {opView} Set customize "cautionAboutFriendPre" (friend/cautionAboutFriendPre)
 9月 28 21:14:22 symfony [info] {opView} Set customize "cautionAboutCommunityMemberPre" (community/cautionAboutCommunityMemberPre)
…
 9月 28 21:14:23 symfony [info] {opWebResponse} Send status "HTTP/1.1 200 OK" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send header "Content-Type: text/html; charset=utf-8" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send header "Expires: Fri, 22 Apr 1988 17:00:00 GMT" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send header "Lastmodified: Wed, 28 Sep 2011 12:14:23 GMT" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send header "Cache-Control: no-store, no-cache, private, max-age=0, must-revalidate, post-check=0, pre-check=0" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send header "Pragma: no-cache" 
 9月 28 21:14:23 symfony [info] {opWebResponse} Send cookie "2dc1b1d9f6936933a8af7f0f643c3ab9": "" 
 9月 28 21:14:24 symfony [info] {opWebResponse} Send content (875197 o)
…

上記よりわかること¶

ブラウザを立ち上げ直した後最初にSNSにアクセスした場合，opAnonymousMemberでアクセスした状態となり，logout()が実行されて自動ログイン用のセッションが初期化される．この時，opSecurityUser.class.phpの175行目でセッションを初期化しようとするがopAnonymousMemberのためDBのテーブルの方は初期化されない．しかし194行目の処理によってCookieを削除してしまう．その後opRememberLoginFilterによってブラウザから送られてきたCookieを用いてログインが成功する．次にホームが表示されたときには先程の処理によってCookieが削除されてしまうため次のログインが行われない状態となっている．
ブラウザ内のCookieが削除される．

（補足）
#1182 の修正で、opSecurityUser の初期化時に有効なセッションがない場合（ただし、この時点では自動ログイン用のCookieは評価されていない）、logout() を呼び出す修正がなされており、この修正以降で本チケットで報告されているのと同じ現象が再発しているようです。

修正方針¶

ログアウトを分類すると２種類あると考えられる．それは自動ログインの情報も初期化するログアウトと自動ログインの情報を保持したままするログアウトである．前者の例としてはメンバ自身がログアウトのリンクをクリックしたり，退会したり，自動ログインの有効期限が切れている場合がある．後者の例としては本チケットの問題となっているブラウザ終了がある．

本チケットではopRememberLoginFilterを廃止し，Memberオブジェクトが初期化される際にopAnonymousMemberかどうかでログアウト処理を行うときと同じタイミングで自動ログインの判定を行う方針とする．こうすることで自動ログインの有効期限切れも含めたログイン管理をうまく処理することができると考えられる．

実装案¶

diff --git a/apps/pc_frontend/config/filters.yml b/apps/pc_frontend/config/filters.yml
index b202269..c44ddce 100644
--- a/apps/pc_frontend/config/filters.yml
+++ b/apps/pc_frontend/config/filters.yml
@@ -9,9 +9,6 @@ enable_app:
 xrds_header:
   class: opAppendXRDSHeaderFilter

-remember_login:
-  class: opRememberLoginFilter
-
 security:  ~

 emoji:
diff --git a/lib/filter/opRememberLoginFilter.class.php b/lib/filter/opRememberLoginFilter.class.php
deleted file mode 100644
index b41e372..0000000
--- a/lib/filter/opRememberLoginFilter.class.php
+++ /dev/null
@@ -1,36 +0,0 @@
-<?php
-
-/**
- * This file is part of the OpenPNE package.
- * (c) OpenPNE Project (http://www.openpne.jp/)
- *
- * For the full copyright and license information, please view the LICENSE
- * file and the NOTICE file that were distributed with this source code.
- */
-
-/**
- * opRememberLoginFilter
- *
- * @package    OpenPNE
- * @subpackage filter
- * @author     Shogo Kawahara <kawahara@tejimaya.net>
- */
-class opRememberLoginFilter extends sfFilter
-{
-  /**
-   * Executes this filter.
-   *
-   * @param sfFilterChain $filterChain A sfFilterChain instance
-   */
-  public function execute($filterChain)
-  {
-    if ($this->isFirstCall() && !$this->context->getUser()->isAuthenticated())
-    {
-      if ($memberId = $this->context->getUser()->getRememberedMemberId())
-      {
-        $this->context->getUser()->login($memberId);
-      }
-    }
-    $filterChain->execute();
-  }
-}
diff --git a/lib/user/opSecurityUser.class.php b/lib/user/opSecurityUser.class.php
index 2dd1714..c39089c 100644
--- a/lib/user/opSecurityUser.class.php
+++ b/lib/user/opSecurityUser.class.php
@@ -327,7 +327,17 @@ class opSecurityUser extends opAdaptableUser
     $member = $this->getMember();
     opActivateBehavior::enable();

-    if ($member instanceof opAnonymousMember || $member->getIsLoginRejected())
+    if ($member->getIsLoginRejected())
+    {
+      $this->logout();
+      $isSNSMember = false;
+    }
+    elseif ($memberId = $this->getRememberedMemberId())
+    {
+      $this->setMemberId($memberId);
+      $isSNSMember = true;
+    }
+    elseif ($member instanceof opAnonymousMember)
     {
       $this->logout();
       $isSNSMember = false;

動作確認¶

確認内容¶

影響がありそうな点について正しい動作が行えているかについて確認を行った．網羅的に行なっていないのでここに記述されているだけのテストでは不十分であることに注意．

確認環境¶

OpenPNE3.7.0-dev (master)
上記実装案を適用した状態+ #2469 の修正を施した状態
SNSログイン用ブラウザA: Chrome 14.0.835.202
管理画面用ブラウザB: Firefox 7.0.1

確認内容と確認結果¶

• 普通の状態
  • 期待される結果：正しい入力及び自動ログインに成功する
1. ブラウザAでログイン画面を表示する
   • ログイン画面の表示に成功
2. ブラウザAでSNSに自動ログインを有効にしてログイン
   • ホームの表示に成功
3. ブラウザA終了
4. ブラウザAを立ち上げてSNSにアクセス
   • ホームの表示に成功
5. ブラウザA終了
6. ブラウザAを立ち上げてSNSにアクセス
   • ホームの表示に成功

• ログイン停止状態
  • 期待される結果：正しい入力をしてもログイン出来ない状態
1. ブラウザB：管理画面でメンバをログイン停止状態にする
2. ブラウザAでログイン画面を表示する
   • ログイン画面の表示に成功
3. ブラウザAでSNSに自動ログインを有効にしてログイン
   • 「ログインに失敗しました。」という表示がされてログインに失敗する

• 自動ログインにチェックを入れてログイン画面からログインしたあとログイン停止になった状態
  • 期待される結果：何らかのページを開くときにログイン画面に遷移する
1. ブラウザAでログイン画面を表示する
   • ログイン画面の表示に成功
2. ブラウザAでSNSに自動ログインを有効にしてログイン
   • ホーム画面の表示に成功
3. ブラウザB：管理画面でログイン停止を行う
4. ブラウザAでSNSでホーム画面の表示を行う
   • ログイン画面が表示される
   • 自動ログイン用のCookieは削除されセッションCookieも新規のものが発行されている

• 自動ログインで直接ホームを表示したあとログイン停止になった状態
  • 期待される結果：何らかのページを開くときにログイン画面に遷移する
1. ブラウザAでログイン画面を表示する
   • ログイン画面の表示に成功
2. ブラウザAでSNSに自動ログインを有効にしてログイン
   • ホーム画面の表示に成功
3. ブラウザA終了
4. ブラウザB：管理画面でログイン停止を行う
5. ブラウザAを立ち上げてSNSにアクセス
6. ブラウザAでSNSホーム画面の表示を行う
   • ログイン画面が表示される
   • 自動ログイン用のCookieは削除されセッションCookieも新規のものが発行されている