Enhancement（機能追加・改善） #328: Add an ability to remember login in the pc_frontend (自動ログインを実装する） - OpenPNE 3 - OpenPNE Issue Tracking System

Enhancement（機能追加・改善） #328

Add an ability to remember login in the pc_frontend (自動ログインを実装する）

Added by pnetan 　 almost 14 years ago. Updated almost 14 years ago.

Status:

Fixed（完了）

Priority:

Normal（通常）

Assignee:

Shogo Kawahara

Target version:

OpenPNE 3.5.0

Start date:

2009-12-08

Due date:

% Done:

100%

Description

Overview¶

Add an ability to remember login in the pc_frontend (自動ログインを実装する）

Source¶

http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=22825より転記

OpenPNE 3.2.0での自動ログインができないので、自動ログインができるようになってほしい。

Related issues

Associated revisions

Revision f6a18da9 (diff)
Added by Shogo Kawahara almost 14 years ago

added an ability to remember login (refs #328)

Revision d910c8fd (diff)
Added by Shogo Kawahara almost 14 years ago

fixed sfOpenPNESecurityUser to check key of the MemberConfig (fixes #328)

History

#1 Updated by pnetan 　 almost 14 years ago

Target version deleted (~~OpenPNE 3.2.0~~)

バージョンを空欄に。

#2 Updated by pnetan 　 almost 14 years ago

同じ要望が来ています
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=23273 より転載

 
○前提
現在、OpenPNE3系をベースとする新サービスの開発を行っています。

○内容
http://redmine.openpne.jp/issues/328
こちらのチケットの件と同様です。

この件ができなければ、サービスとしてオープンするのは難しいと、顧客から強い要求が出ています。
SNSとして提供する上で必要要素と私も考えていますので、可能な限り早く実現してほしいです。

○その他
進捗などはどのような状況にあるでしょうか？やはり厳しいですか？
厳しいようなら他の策を練らなければならないので、もしわかれば教えてください。

#3 Updated by Shogo Kawahara almost 14 years ago

Assignee set to Shogo Kawahara
Target version set to OpenPNE 3.5.0

#4 Updated by Shogo Kawahara almost 14 years ago

Subject changed from 自動ログインができるようにしてほしい to Add an ability to remember login in the pc_frontend (自動ログインを実装する）
Status changed from New（新規） to Accepted（着手）

#5 Updated by Shogo Kawahara almost 14 years ago

Status changed from Accepted（着手） to Pending Review（レビュー待ち）

#6 Updated by kazuyuki itoda almost 14 years ago

確認しました。
ログイン画面(/member/login)にアクセスした場合のみ、自動ログインはされませんでした。
海老原さんに確認したところ、ログイン画面にアクセスした場合は自動ログインされなくてもokとのこと。

#7 Updated by Kousuke Ebihara almost 14 years ago

Status changed from Pending Review（レビュー待ち） to Rejected（差し戻し）
% Done changed from 0 to 50

sfOpenPNESecurityUser の 243 行目でおこなっている remember_key のチェックですが、メンバー ID とハッシュ値の組み合わせから MemberConfig のインスタンスを取得し、存在していれば認証が通るような仕組みになっていますが、これでは任意のメンバーの任意の設定項目の値を知ってさえいれば、クライアント側で Cookie を変更することで認証が突破できてしまう危険があると思います。

このチェックにおいては、確実に remember_key の値のみを見るように修正をおこなってください。

#8 Updated by Shogo Kawahara almost 14 years ago

Status changed from Rejected（差し戻し） to Accepted（着手）

#9 Updated by Shogo Kawahara almost 14 years ago

Status changed from Accepted（着手） to Pending Review（レビュー待ち）

更新履歴commit:"d910c8fdfe93dfbc28b93727cbf3c14eda97384e"で適用されました。

#10 Updated by Kousuke Ebihara almost 14 years ago

Status changed from Pending Review（レビュー待ち） to Fixed（完了）
% Done changed from 50 to 100

Also available in: Atom PDF

Project

General

Profile

OpenPNE 3

Issues

Custom queries