Enhancement(機能追加・改善) #328
Add an ability to remember login in the pc_frontend (自動ログインを実装する)
100%
説明
Overview¶
Add an ability to remember login in the pc_frontend (自動ログインを実装する)
Source¶
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=22825より転記
OpenPNE 3.2.0での自動ログインができないので、自動ログインができるようになってほしい。
関連するチケット
関係しているリビジョン
added an ability to remember login (refs #328)
fixed sfOpenPNESecurityUser to check key of the MemberConfig (fixes #328)
履歴
#2 pnetan が約14年前に更新
同じ要望が来ています
http://sns.openpne.jp/?m=pc&a=page_fh_diary&target_c_diary_id=23273 より転載
○前提 現在、OpenPNE3系をベースとする新サービスの開発を行っています。 ○内容 http://redmine.openpne.jp/issues/328 こちらのチケットの件と同様です。 この件ができなければ、サービスとしてオープンするのは難しいと、顧客から強い要求が出ています。 SNSとして提供する上で必要要素と私も考えていますので、可能な限り早く実現してほしいです。 ○その他 進捗などはどのような状況にあるでしょうか?やはり厳しいですか? 厳しいようなら他の策を練らなければならないので、もしわかれば教えてください。
#3 Shogo Kawahara が約14年前に更新
- 担当者 を Shogo Kawahara にセット
- 対象バージョン を OpenPNE 3.5.0 にセット
#4 Shogo Kawahara が約14年前に更新
- 題名 を 自動ログインができるようにしてほしい から Add an ability to remember login in the pc_frontend (自動ログインを実装する) に変更
- ステータス を New(新規) から Accepted(着手) に変更
#5 Shogo Kawahara が約14年前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
#6 kazuyuki itoda が約14年前に更新
確認しました。
ログイン画面(/member/login)にアクセスした場合のみ、自動ログインはされませんでした。
海老原さんに確認したところ、ログイン画面にアクセスした場合は自動ログインされなくてもokとのこと。
#7 Kousuke Ebihara が約14年前に更新
- ステータス を Pending Review(レビュー待ち) から Rejected(差し戻し) に変更
- 進捗率 を 0 から 50 に変更
sfOpenPNESecurityUser の 243 行目でおこなっている remember_key のチェックですが、メンバー ID とハッシュ値の組み合わせから MemberConfig のインスタンスを取得し、存在していれば認証が通るような仕組みになっていますが、これでは任意のメンバーの任意の設定項目の値を知ってさえいれば、クライアント側で Cookie を変更することで認証が突破できてしまう危険があると思います。
このチェックにおいては、確実に remember_key の値のみを見るように修正をおこなってください。
#8 Shogo Kawahara が約14年前に更新
- ステータス を Rejected(差し戻し) から Accepted(着手) に変更
#9 Shogo Kawahara が約14年前に更新
- ステータス を Accepted(着手) から Pending Review(レビュー待ち) に変更
更新履歴commit:"d910c8fdfe93dfbc28b93727cbf3c14eda97384e"で適用されました。
#10 Kousuke Ebihara が約14年前に更新
- ステータス を Pending Review(レビュー待ち) から Fixed(完了) に変更
- 進捗率 を 50 から 100 に変更