EC-CUBE 開発コミュニティ

質問 > フロント機能 > トップページでのログイン判定について

フロント機能

投稿者	スレッド
kjt	投稿日時: 2010/5/15 1:06 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	トップページでのログイン判定について --------------------------------------------------------------- EC-CUBE ：ナイトリービルド版 2.4.2-comu(eccube-comu-r18615) PHP ：　5.1.6 DB ： PostgreSQL 8.4.3 OS : CentOS5.4 WebServer: Apache/2.2.3 Blowser: Google Chrome 5.0.375.38 beta ---------------------------------------------------------------- 初めまして。いつもこの開発コミュニティにとても助けられていますが、自力で解決することができなかったので初めて投稿させていただきました。予め会員登録をした人にのみ公開するようなECサイトを設計しようとしています。つまり、トップページにアクセスした時にログイン画面のみが表示され、そこで認証が成功した場合のみ従来のようなトップページが表示されるといったものです。　・初回アクセス時、ログイン画面のみが表示される　・ログイン後、ログアウトのみができる　・ログアウト時、トップページに戻りログイン画面が表示される loginブロックのソースを読んだり似たような事例を検索したところ、変数tpl_loginによる分岐が該当する解決方法になるかと思います。（参考にした過去ログは、http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&topic_id=5325&forum=11　、　http://xoops.ec-cube.net/modules/newbb/viewtopic.php?viewmode=flat&order=ASC&topic_id=1388&forum=10　などです。）そこでindex.phpを参照してソースを追ったところ、TOPページのBODY部分はsite_main.tplによっているとのことだったので、まずこれを最後に添付した様に編集しました。概要は次の様なイメージです。 site_main.tplの編集概要 `<!--{if $tpl_ogin}--> ヘッダ、コンテンツ <!--{else}--> login.tplよりほぼコピーしてきたログインブロック <!--{/if}--> フッタ` しかしこれだけでは、トップページに表示されるのはログインブロック（とフッタ）だけになるものの、実際アドレスとパスワードを入力しても期待した通り従来のトップページへと遷移しません。以下のようなページに遷移してしまいます。　ページタイトル： [店名] / エラー　URL: http://*****/frontparts/login_check.php 試しにtpl_loginをvar_dumpしてみたところ、NULLと表示されていましたのでこれが原因なのでしょうか。 tpl_loginへのログイン判定結果の格納されていないのかと思い過去ログを参照して、以下をLC_Page_Index.phpの65行目に追加してみましたが、結果は変わりませんでした。 `// ログイン判定 $objCustomer = new SC_Customer(); if($objCustomer->isLoginSuccess()) { $this->tpl_login = true; }` 何か見当違いなことをしているのかもしれませんが、冒頭に示したようなサイトを実現するにはどうすればよいでしょうか。解決に向けてアドバイスいただければ大変うれしいです。よろしくお願いいたします。 site_main.tpl（編集後、非変更部分で多少省略しています） <!--{ EC-CUBEのライセンス }--> <body onload="preLoadImg('<!--{$TPL_DIR}-->'); <!--{$tpl_onload}-->"> <!--{ A8タグ表示用 }--> <!--{if "sfPrintA8Tag"\|function_exists === TRUE}--> <!--{include file=`$smarty.const.MODULE_PATH`mdl_a8/print_a8_tag.tpl}--> <!--{/if}--> <!--{$GLOBAL_ERR}--> <noscript> <p>JavaScript を有効にしてご利用下さい.</p> </noscript> <a name="top" id="top"></a> <!-- ここから追加 --> <!--{if $tpl_login}--> <!--ここまで追加--> <!--{ ▼HeaderHeaderTop COLUMN}--> 　HeaderHeaderTop CLUMNの中身 <!--{ ▲HeaderHeaderTop COLUMN}--> <!--{ ▼HEADER }--> <!--{if $arrPageLayout.header_chk != 2}--> <!--{include file= $header_tpl}--> <!--{/if}--> <!--{ ▲HEADER }--> <!--{ ▼CONTENTS }--> コンテンツ中身 <!--{ ▲CONTENTS }--> <!-- ここから追加２ --> <!--{else}--> <!--▼ログインここから--> <h2> <img src="<!--{$TPL_DIR}-->img/side/title_login.jpg" width="166" height="35" alt="ログイン" /> </h2> <div id="loginarea"> <form name="login_form" id="login_form" method="post" action="<!--{$smarty.const.SSL_URL}-->frontparts/login_check.php" onsubmit="return fnCheckLogin('login_form')"> <input type="hidden" name="mode" value="login" /> <input type="hidden" name="<!--{$smarty.const.TRANSACTION_ID_NAME}-->" value="<!--{$transactionid}-->" /> <input type="hidden" name="url" value="<!--{$smarty.server.PHP_SELF\|escape}-->" /> <div id="login"> <p><img src="<!--{$TPL_DIR}-->img/side/icon_mail.gif" width="40" height="21" alt="メールアドレス" /><input type="text" name="login_email" class="box96" value="<!--{$tpl_login_email\|escape}-->" style="ime-mode: disabled;"/></p> <p><img src="<!--{$TPL_DIR}-->img/side/icon_pw.gif" width="40" height="22" alt="パスワード" /><input type="password" name="login_pass" class="box96" /></p> </div> <p class="mini"> <a href="<!--{$smarty.const.SSL_URL\|sfTrimURL}-->/forgot/<!--{$smarty.const.DIR_INDEX_URL}-->" onclick="win01('<!--{$smarty.const.SSL_URL\|sfTrimURL}-->/forgot/<!--{$smarty.const.DIR_INDEX_URL}-->','forget','600','400'); return false;" target="_blank">パスワードを忘れた方はこちら</a> </p> <p> <input type="checkbox" name="login_memory" value="1" <!--{$tpl_login_memory\|sfGetChecked:1}--> /> <img src="<!--{$TPL_DIR}-->img/header/memory.gif" width="18" height="9" alt="記憶" /> </p> <p class="btn"> <input type="image" onmouseover="chgImgImageSubmit('<!--{$TPL_DIR}-->img/side/button_login_on.gif',this)" onmouseout="chgImgImageSubmit('<!--{$TPL_DIR}-->img/side/button_login.gif',this)" src="<!--{$TPL_DIR}-->img/side/button_login.gif" class="box51" alt="ログイン" name="subm" /> </p> <!--ログインフォーム--> </form> </div> <!--▲ログインここまで--> <!--{/if}--> <!--ここまで追加--> <!--{ ▼FOTTER }--> <!--{if $arrPageLayout.footer_chk != 2}--> <!--{include file=$footer_tpl}--> <!--{/if}--> <!--{ ▲FOTTER }--> <!--{ ▼FooterBottom COLUMN}--> FooterBottomの中身 <!--{ ▲FooterBottom COLUMN}--> <!--{ EBiSタグ表示用 }--> <!--{$tpl_mainpage\|sfPrintEbisTag}--> <!--{ アフィリエイトタグ表示用 *}--> <!--{$tpl_conv_page\|sfPrintAffTag:$tpl_aff_option}--> </body>

kjt	投稿日時: 2010/5/16 6:32 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	Re: トップページでのログイン判定について自己レス失礼致します。（先ほどの投稿で申し遅れましたが、当方PHPに関しては初心者です。ECCUBEをカスタマイズしつつ勉強しています。）上記の投稿をした後、いろいろ検討した結果、以下の方法で実現することができました。　０、site_main.tplを上記のように変更する（$tpl_loginを用いた条件分岐）　１、LC_Page_FrontParts_LoginCheck.phpの59〜61行目（不正なURLがPOSTされた場合はエラー表示）をコメントアウト　２、LC_Page.phpのinit()内に以下のログイン判定項目を追加 `// ログイン判定 $objCustomer = new SC_Customer(); if($objCustomer->isLoginSuccess()) { $this->tpl_login = true; }` 確かにトップページではログインブロックのみが表示され、認証後従来のメイン画面が表示され、ログアウトするとログインブロックのみの画面に戻る、という挙動をするようになりました。ただ、上記の手順のうち1に挙げた部分をコメントアウトしてしまったのが気になります。トランザクショントークンの使用による不正な画面遷移の防止、という部分になると理解していますが、これをコメントアウトする事でECサイトとしてどれだけ危険になってしまうのかがよく理解できていません。。知識不足のためこの方法でよかったのかどうか図りかねております。これはさすがによくない方法だ、とか、もっといい方法がある、などなんでもよいのでコメントをいただけないでしょうか。おそらく説明がわかりにくいところがあるかと思いますので、その際はご指摘ください。よろしくお願い致します。

seasoft	投稿日時: 2010/5/16 11:08 対応状況: −−−
神登録日: 2008/6/4 居住地: 投稿: 7367	Re: トップページでのログイン判定についてまぁ、PHP & Smarty なので、kjt 様のコード記述で十分ですが、下記のように書くとスマートかも。 `// ログイン判定 $objCustomer = new SC_Customer(); $this->tpl_login = $objCustomer->isLoginSuccess();` ・・・って、EC-CUBE の標準ソースでも if 分岐でセットしていますね・・・ ^^; > ただ、上記の手順のうち1に挙げた部分をコメントアウトしてしまったのが気になります。トランザクショントークンの使用による不正な画面遷移の防止、という部分になると理解していますが、これをコメントアウトする事でECサイトとしてどれだけ危険になってしまうのかがよく理解できていません。。一般論としてですが、XSRF に対して脆弱になるかもしれませんね。個々のソースは細かく査読していませんが、全体の方向性としては良いアイディアだと思いますよ。 ---------------- Seasoft こちらでの投稿は、アイディア程度に留めさせていただいております。個別案件の作業は有償で承っております。お気軽にご相談ください。

ゲスト	投稿日時: 2010/5/16 17:06 対応状況: −−−
	Re: トップページでのログイン判定について引用：一般論としてですが、XSRF に対して脆弱になるかもしれませんね。小生も、脆弱性を嫌って、どうしたもかと、思案してて、ある時(まぁ、今週ですが、、、)、ふと、MyPageをコピーすればいいのでは、と思い、実装しました。始めは、そのままMyPageにRedirectしたので、ログイン後、TOPページでは無く、MyPageが表示されてましたが、今では、 tpl class class_extend の連携を把握したので、ちゃんと、ログイン後はTopページを表示し、ログアウトはTopページからと出来ました。 MyPageをコピーしてますので「会員登録」も出来てしまいますが、不要ならば、そこのコードは、ばっさり、削除すれば、よい話ですし。 GPLですので、もしも、コードの公開をご希望ならば、ご要望ください。

kjt	投稿日時: 2010/5/17 2:23 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	Re: トップページでのログイン判定について seasoft様アドバイスいただき有り難うございます。 XSRFですか。。やはりECサイトである以上脆弱性はできるだけ取り除いたサイトにしたいので、勉強しつつ、コメントアウトしないで済むような方法も考えていきたいと思います。ちなみに、いまいち理解が曖昧なのですが、トランザクショントークンによる不正画面遷移の防止と、セッションIDによるセッション管理というのはまったく別次元の話なのでしょうか。トランザクショントークンの生成は、getToken()の使用場所を調べてみたところ以下のようになっています。 `data/class/SC_MobileKaraMail.php data/class/pages/shopping/LC_Page_Shopping.php data/class/pages/LC_Page.php data/class/pages/admin/system/LC_Page_Admin_System_Input.php data/class/pages/admin/ownersstore/LC_Page_Admin_OwnersStore_Settings.php data/class/pages/entry/LC_Page_Entry.php data/class/pages/frontparts/bloc/LC_Page_FrontParts_Bloc_Login.php data/class/pages/products/LC_Page_Products_Review.php data/script/receive_kara_mail.php` 対して、セッションの開始を担当しているsfDomainSessionStart（これであっているでしょうか）の使用場所は以下のようになっています。 `data/class/SC_CartSession.php data/class/SC_Customer.php data/class/SC_SiteSession.php data/class/SC_View.php data/class/util/SC_Utils.php data/class/pages/contact/LC_Page_Contact.php data/class/SC_CampaignSession.php data/class/SC_Session.php` これらを見てみると、結局SC_ViewのSC_SiteViewでセッションが開始されているので、顧客側のWebサイト表示では常にセッションが再生成されているということになり、そのIDによる管理があればトランザクショントークンはなぜ必要なのかわかりません。検討違いなことを申し上げているかもしれませんが、以上の点について疑問でしたので、なんらかお答えいただければ幸いです。よろしくお願い致します。

kjt	投稿日時: 2010/5/17 2:32 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	Re: トップページでのログイン判定について Ringo様ご回答ありがとうございます。 MyPageのソースにて試されたという事ですが、この場合だとトランザクショントークン部分のコメントアウトがなく、安全だということでしょうか。引用： GPLですので、もしも、コードの公開をご希望ならば、ご要望ください。もしよろしければ、ぜひとも参考にさせていただきたいのでお願い致します。

seasoft	投稿日時: 2010/5/17 2:55 対応状況: −−−
神登録日: 2008/6/4 居住地: 投稿: 7367	Re: トップページでのログイン判定について基本的に PHP のセッションキーは、クライアント側でブラウザを閉じない限りは同じ ID を使い続けます。(アクセスごとに再生成はされません) そのため、XSRF 対策を考える必要があるのだと思います。(トランザクショントークンは使い捨て(1回限り有効)です。) # XSRF 対策の部分を実装したのは私ではないので、誤ったことを書いていたらゴメンなさい。 ---------------- Seasoft こちらでの投稿は、アイディア程度に留めさせていただいております。個別案件の作業は有償で承っております。お気軽にご相談ください。

ゲスト	投稿日時: 2010/5/17 9:51 対応状況: −−−
	マスタログイン会員制 Re: トップページでのログイン判定について <--- 追記 '12.05.23 マスタログイン会員制 2_11-devへの適用例: http://www.kudzilla.com/~hic/eccube-dev/2_11-dev/1-master_login.pdf ID/PWD : hic/Ringo ---> 引用： MyPageのソースにて試されたという事ですが、この場合だとトランザクショントークン部分のコメントアウトがなく、安全だということでしょうか。・現状より「安全性が低下しない」と理解してます。・コードを添付しますので、検討してみてください。・対象はECCUBE2.4.3です。comu版と差が有る場合は、適時、修正してください。 '10.05.17 追記・$this->sendRedirect($this->getLocation("login/login.php")); 　では『eccube/data/install.php』の「SITE_URL」にRedirectします。・「SITE_URL」には"https://..."を設定してください。 ↓「SSL_URL」に遷移させる方法の調査結果を反映。 $this->sendRedirect($this->getLocation("login/login.php", array(), true)); '10.08.02 修正「_Login_」の「_Login_」(強調)漏れ2箇所＜ファイル構成＞　1.マスタログイン→MYページ改(login)への強制遷移→ログイン→TOPページ。　　1)『eccube/data/class/pages/login/』　　　a)LC_Page_Login_Login.php　(元：mypage/LC_Page_Mypage_Login.php) 　　　b)LC_Page_Login_LoginCheck.php　(元：mypage/LC_Page_Mypage_LoginCheck.php) 　　2)『eccube/data/class_extends/page_extends/login/』　　　a)LC_Page_Login_Login_Ex.phpphp　(元：mypage/LC_Page_Mypage_Login_Ex.php) 　　　b)LC_Page_Login_LoginCheck_Ex.php　(元：mypage/LC_Page_Mypage_LoginCheck_Ex.php) 　　3)『eccube/data/class_extends/page_extends/』　　　a)LC_Page_Index_Ex.php　（マスタログイン化の先頭処理）　　4)『eccube/html/login/』　　　a)index.php　(元：html/index.php) 　　　b)login_check.php　(元：mypage/login_check.php) 　　　c)login.php　(元：mypage/login.php) 　2.「商品一覧」「商品詳細」に「ログインチェック」を入れる。　　1)『eccube/data/class_extends/page_extends/products/』　　　a)LC_Page_Products_List_Ex.php (「商品一覧」) 　　b)LC_Page_Products_Detail_Ex.php (「商品詳細」) 　3.ヘッダの中の[会員登録],[カゴの中を見る]を無くす。(好みで。) 　　1)『eccube/data/Smarty/templates/default/』　　　a)header.tpl 1.マスタログイン→MYページ改(login)への強制遷移→ログイン→TOPページ。　1)『eccube/data/class/pages/login/』　　a)LC_Page_Login_Login.php　(元：mypage/LC_Page_Mypage_Login.php) /**  * マスタログインのページクラス.  *  * @package Page  * @author LOCKON CO.,LTD.  * @version $Id: LC_Page_Mypage_Login.php 17653 2008-10-23 02:03:49Z takegami $  / class LC_Page_Login_Login extends LC_Page {     /*      * Page を初期化する.      *      * @return void      /     function init() {         parent::init();         $this->tpl_mainpage = TEMPLATE_DIR . 'mypage/login.tpl';         $this->tpl_title = 'ログイン';         $this->tpl_column_num = 1;         $this->httpCacheControl('nocache');     } 　　b)LC_Page_Login_LoginCheck.php　(元：mypage/LC_Page_Mypage_LoginCheck.php) /*  * マスタログインチェックのページクラス.  *  * TODO frontparts/LC_Page_Frontparts_LoginCheck と抽象化させる  * FIXME ロジック見なおし...  *  * @package Page  * @author LOCKON CO.,LTD.  * @version $Id: LC_Page_Mypage_LoginCheck.php 17771 2009-02-13 12:59:21Z zeniya $  / class LC_Page_Login_LoginCheck extends LC_Page { 　2)『eccube/data/class_extends/page_extends/login/』　　a)LC_Page_Login_Login_Ex.phpphp　(元：mypage/LC_Page_Mypage_Login_Ex.php) // {{{ requires require_once(CLASS_PATH . "pages/login/LC_Page_Login_Login.php"); /*  * マスタログインのページクラス(拡張).  *  * LC_Page_Login_Login をカスタマイズする場合はこのクラスを編集する.  *  * @package Page  * @author LOCKON CO.,LTD.  * @version $Id: LC_Page_Mypage_Login_Ex.php 16582 2007-10-29 03:06:29Z nanasess $  / class LC_Page_Login_Login_Ex extends LC_Page_Login_Login { 　　b)LC_Page_Login_LoginCheck_Ex.php　(元：mypage/LC_Page_Mypage_LoginCheck_Ex.php) // {{{ requires require_once(CLASS_PATH . "pages/login/LC_Page_Login_LoginCheck.php"); /*  * マスタログインチェックのページクラス(拡張).  *  * LC_Page_Login_LoginCheck をカスタマイズする場合はこのクラスを編集する.  *  * @package Page  * @author LOCKON CO.,LTD.  * @version $Id: LC_Page_Mypage_LoginCheck_Ex.php 16582 2007-10-29 03:06:29Z nanasess $  / class LC_Page_Login_LoginCheck_Ex extends LC_Page_Login_LoginCheck { 　3)『eccube/data/class_extends/page_extends/』　a)LC_Page_Index_Ex.php　（マスタログイン化の先頭処理）     /*      * Page を初期化する.      *      * @return void      /     function init() {         // & hideki-s '10.04.28         // ログイン判定 $objCustomer = new SC_Customer(); $this->tpl_login = $objCustomer->isLoginSuccess();         if (!$this->tpl_login){         $this->sendRedirect($this->getLocation("login/login.php", array(), true));         }         // hideki-s & '10.04.28         parent::init();     } 　4)『eccube/html/login/』　　a)index.php　(元：html/index.php) // {{{ requires require_once("../require.php"); require_once(CLASS_EX_PATH . "page_extends/LC_Page_Index_Ex.php"); 　　b)login_check.php　(元：mypage/login_check.php) // {{{ requires require_once("../require.php"); require_once(CLASS_EX_PATH . "page_extends/login/LC_Page_Login_LoginCheck_Ex.php"); // }}} // {{{ generate page $objPage = new LC_Page_Login_LoginCheck_Ex(); 　　c)login.php　(元：mypage/login.php) // {{{ requires require_once("../require.php"); require_once(CLASS_EX_PATH . "page_extends/login/LC_Page_Login_Login_Ex.php"); // }}} // {{{ generate page $objPage = new LC_Page_Login_Login_Ex(); 2.「商品一覧」「商品詳細」に「ログインチェック」を入れる。　1)『eccube/data/class_extends/page_extends/products/』　　a)LC_Page_Products_List_Ex.php (「商品一覧」) 　　b)LC_Page_Products_Detail_Ex.php (「商品詳細」)     /*      * Page を初期化する.      *      * @return void      */     function init() {         // & hideki-s '10.04.28         // ログイン判定 $objCustomer = new SC_Customer(); $this->tpl_login = $objCustomer->isLoginSuccess();         if (!$this->tpl_login){         $this->sendRedirect($this->getLocation("login/login.php", array(), true));         }         // hideki-s & '10.04.28         parent::init();     } 3.ヘッダの中の[会員登録],[カゴの中を見る]を無くす。(好みで。) 　1)『eccube/data/Smarty/templates/default/』　　a)header.tpl 　　　↓を削除       <li>         <a href="<!--{$smarty.const.URL_DIR}-->entry/kiyaku.php"            onmouseover="chgImg('<!--{$TPL_DIR}-->img/header/member_on.gif','member');"            onmouseout="chgImg('<!--{$TPL_DIR}-->img/header/member.gif','member');">           <img src="<!--{$TPL_DIR}-->img/header/member.gif" width="95" height="20" alt="会u21729 登u-27854 " name="member" id="member" /></a>       </li>       <li>         <a href="<!--{$smarty.const.URL_DIR}-->cart/index.php"            onmouseover="chgImg('<!--{$TPL_DIR}-->img/header/cartin_on.gif','cartin');"            onmouseout="chgImg('<!--{$TPL_DIR}-->img/header/cartin.gif','cartin');">           <img src="<!--{$TPL_DIR}-->img/header/cartin.gif" width="95" height="20" alt="カu12468 のu20013 をu-30325 る name="cartin" id="cartin" /></a>       </li>

kjt	投稿日時: 2010/5/17 18:36 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	Re: トップページでのログイン判定について seasoft様ご返信ありがとうございます。セッションとトークンの間にはそういう使い分けがあったのですね。。引き続き、これを理解したうえでソースを見ていきたいと思います。ありがとうございました。

kjt	投稿日時: 2010/5/17 18:38 対応状況: −−−
新米登録日: 2010/3/21 居住地: 投稿: 7	Re: トップページでのログイン判定について Ringo様試行錯誤のソースを教えていただいてありがとうございます。しかもこんなにご丁寧に。。感激です。まずは検討してみたいと思います！

(1) 2 »

スレッド表示 | 新しいものから

前のトピック | 次のトピック | トップ

バージョン選択

フォーラム

メニュー

オンライン状況

サイト内検索

フロント機能

ログイン

統計情報

投稿数ランキング