操作
Enhancement(機能追加・改善) #328
完了Add an ability to remember login in the pc_frontend (自動ログインを実装する)
開始日:
2009-12-08
期日:
進捗率:
100%
予定工数:
説明
Overview¶
Add an ability to remember login in the pc_frontend (自動ログインを実装する)
Source¶
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=22825より転記
OpenPNE 3.2.0での自動ログインができないので、自動ログインができるようになってほしい。
pnetan さんがほぼ15年前に更新
同じ要望が来ています
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=23273 より転載
○前提 現在、OpenPNE3系をベースとする新サービスの開発を行っています。 ○内容 http://redmine.openpne.jp/issues/328 こちらのチケットの件と同様です。 この件ができなければ、サービスとしてオープンするのは難しいと、顧客から強い要求が出ています。 SNSとして提供する上で必要要素と私も考えていますので、可能な限り早く実現してほしいです。 ○その他 進捗などはどのような状況にあるでしょうか?やはり厳しいですか? 厳しいようなら他の策を練らなければならないので、もしわかれば教えてください。
Shogo Kawahara さんがほぼ15年前に更新
- 題名 を 自動ログインができるようにしてほしい から Add an ability to remember login in the pc_frontend (自動ログインを実装する) に変更
- ステータス を New(新規) から Accepted(着手) に変更
kazuyuki itoda さんがほぼ15年前に更新
確認しました。
ログイン画面(/member/login)にアクセスした場合のみ、自動ログインはされませんでした。
海老原さんに確認したところ、ログイン画面にアクセスした場合は自動ログインされなくてもokとのこと。
Kousuke Ebihara さんがほぼ15年前に更新
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
- 進捗率 を 0 から 50 に変更
sfOpenPNESecurityUser の 243 行目でおこなっている remember_key のチェックですが、メンバー ID とハッシュ値の組み合わせから MemberConfig のインスタンスを取得し、存在していれば認証が通るような仕組みになっていますが、これでは任意のメンバーの任意の設定項目の値を知ってさえいれば、クライアント側で Cookie を変更することで認証が突破できてしまう危険があると思います。
このチェックにおいては、確実に remember_key の値のみを見るように修正をおこなってください。
Shogo Kawahara さんがほぼ15年前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
更新履歴commit:"d910c8fdfe93dfbc28b93727cbf3c14eda97384e"で適用されました。
Kousuke Ebihara さんがほぼ15年前に更新
- ステータス を Pending Review(レビュー待ち) から Fixed(完了) に変更
- 進捗率 を 50 から 100 に変更
操作