Q&A
どうしても知りたいです
やりたいこと
上図の青色の枠の中ように、
HTML,CSS,JavaScript,画像等で構成された一つのWebページが一つのフォルダに入っております。
この、青色の枠の中は、会員登録を行ったユーザかつ、その中でも認証を行ったユーザのみしか閲覧されたくありません。
このアクセス制限の方法を考えているのですが、一向に手段が思い浮かばず、お知恵を貸していただきたいと存じます。
行ったこと
ルーティング
Laravelのmod_rewrite処理を書いた.htaccessを青色の枠のフォルダ内におき、
access.phpのようなPHPファイルを別途作成し、そこにアクセスを転送させ、
SESSIONなどで認証を行っているかをaccess.phpで確認ができたらリダイレクトを行う。
↓
まあ、もちろん無限ループになりました。
action
以下のような処理を書いた.htaccessを青色の枠のフォルダ内におき、
access.phpのようなPHPファイルを別途作成し、そこにアクセスを転送させ、
SESSIONなどで認証を行っているかをaccess.phpで確認ができたらリダイレクトを行う。
Action text/html /青枠のフォルダまでのパス/access.php
↓
無限ループになりました。
後は、旧式の考えではありますが、フォルダにBASIC認証をかけようと思ったのですが、
ユーザには一度ログインを行ってもらっているので、再度BASIC認証で情報を入力してもらうのは良くなく、
そもそも、動的にユーザ情報を出力するのは難しそうなので躊躇しています。
PHP側で、BASIC認証用のヘッダを作成し、水色の枠の「メンバーページ」にログインしていたらBASIC認証を素通りでき、していなければこちらが用意した独自のログイン画面に遷移させ、
BASIC認証とは異なるログインをおこない、それがOKであればBASIC認証を行ったとすることは可能でしょうか?
ご存知の方がいらっしゃいましたら、やり方、ご意見等のお知恵を貸していただけますと幸いです。
よろしくお願いいたします。
環境
PHP:7.2.3
Apache:2.4.6 (CentOS)
回答4件
0
単純で汎用的な方法は、認証処理を含んだプログラム経由でコンテンツをサーブすることです。PHPならこんな感じで。
<?php $path = $_GET["path"]; // $pathが不正なものでないかチェック // 認証および認可の処理 header('Content-Type: ' + 適切な MIME type); readfile($path); ?>
http://example.jp/example.php?path=contents.html でアクセスします。
任意のパスが指定可能にならないよう、パラメータは必ずチェックしてください。
Webサーバが「認証済みかどうか」という「アプリケーション側の情報」を利用して動作を変えるのは基本難しいです。
アプリケーション側の「認証済み」という情報をアプリケーションを介さずに安全にWebサーバに伝えるのはとても困難です。単純に思いつくような方法(CookieにIDとか秘密の文字列のような何かの情報を載せるとか)は単純に突破可能なのでそんなことやるぐらいなら無条件で公開しても変わりません。
HTTP認証であればそれはWebサーバ側の情報になるので、それによって動作を変えることはある程度できます。
投稿2018/04/15 06:48
編集2018/04/15 12:57
総合スコア1449
ご回答有り難うございます。
この手法だと、htmlタグ内で呼び出しているCSSやJSは読み出せないような気がします。。。
<link rel="stylesheet" href="example.php?path=hoge.css">などとすればいいです。
ご返信有難うございます。
やはりそうなりますよね……
他コメントでも記載しましたが、
今回、何故ワザワザデータを一つのフォルダとして、publicフォルダに配置したかと言うと、
そのHTML,CSS,JSは、ディラのスクリプト( https://tyrano.jp/ )というゲームエンジンで吐き出されたものだからです。
なので、エンジン内で作られたHTMLをすべて修正するのは困難であると判断し、このような手法を取っております。
/public/hoge.css→/example.php?path=hoge.cssというようなrewriteをHTTPサーバ側に仕込めばよいでしょう
0
Laravel使ってるのになんでこんな無駄なことを…。
Laravel使うなら素のPHPでのやり方の発想はほとんど捨てる。
隠したいファイルをpublicに置いてるのが間違い。
html置いてるのも意味が分からないけどそういえばここではそんな質問も多かった…。
根本的な発想がずれてるとどうにもならない。
ガチガチに制限したいなら全ファイルLaravelを通して表示させる。
/member/{file}のルーティングに対して
コントローラーからはファイルを返す。
return response()->file('secret/' . $file);
member/style.cssならsecret/style.css
secret/style.cssを直接表示はできずLaravelの認証を通ってないと不可なようにする。
現実的にはそこまでやる必要もなくページに対して制限すれば十分。
それならLaravelの普通の認証機能の範囲。
投稿2018/04/15 06:29
退会済みユーザー
総合スコア0
> Laravel使ってるのになんでこんな無駄なことを…。
> Laravel使うなら素のPHPでのやり方の発想はほとんど捨てる。
素の PHP でもこのやり方は考慮すると思うけど?
そうでもないのかなぁ?
ご回答有り難うございます。
Laravelで制限可能なのがよくわかりました。
一応初心者マークもつけているので、そのあたり理解が及んでいない点については大目に見ていただき、合わせてご教示いただけますと幸いです。
さて、今回の「return response()->file('secret/' . $file);」ですが、
例えばHTMLの中の
<script src="URL"></script>というタグについて、
「return response()->file('secret/' . $file);」で返せるということでしょうか?
言ってることは suzukis さんの回答と同じですよ。
コントローラに、パラメータ渡してやるだけなんで。
<script src="URL">の URL はコントローラ+パラメータが入ります。
パラメータ = ファイル指定の入力値確認が重要です。
ホワイトリスト方式を取ったほうが良いです。
ご返信有難うございます。
> <script src="URL">の URL はコントローラ+パラメータが入ります。
なるほど、やはりそうなりますよね……
今回、何故ワザワザデータを一つのフォルダとして、publicフォルダに配置したかと言うと、
そのHTML,CSS,JSは、ディラのスクリプト( https://tyrano.jp/ )というゲームエンジンで吐き出されたものだからです。
なので、エンジン内で作られたHTMLをすべて修正するのは困難であると判断し、このような手法を取っております。
Laravel通すとオーバーヘッドかかるし静的ファイルはできるだけApacheに裁かせるほうが正解だと思う、これは素のPHPに関しても同じ(私見)
そういう意味でasahinaさん支持
> mpyw さん
私は、認証周りが分散するほうがイヤかなぁ。
あとでわからんくなりそう。(同じく私見)
> nnahito さん
要件としては、「青色の枠」のファイル群(相対パスで各種リンクが記述された1サイト分のデータ)をリンクの変更なしに認証を通したセキュアなアクセスを提供したいってことですかね?
多分、どっちのやり方(Apache or php)でもできそうですけど、もっと簡易なやり方がありそう。
> kawax さん
コメント欄で好き勝手言ってすみません^^;
本来PHPプロセスに対して,1リクエストで済むページがリソースのぶんだけリクエスト数増えるの,無視できないオーバーヘッドになると思うんですよね。時間空間的に分割されるならいいんですけど,連続で飛んでくるので特に深刻です。特にLaravel入れちゃう場合はブーティング処理が重たいのでスケーラビリティ最悪だと思います。
> te2jiさん
>> 要件としては、「青色の枠」のファイル群(相対パスで各種リンクが記述された1サイト分のデータ)をリンクの変更なしに認証を通したセキュアなアクセスを提供したいってことですかね?
そうですね、そのとおりのことを行いたいです。
> mpywさん
>> 特にLaravel入れちゃう場合はブーティング処理が重たいのでスケーラビリティ最悪だと思います。
なるほど、この点を考慮するとsuzukisさんのようなチェック方式のほうが確実ですが、Cookieを使ったほうがいい感じなんですね!
すいません、kawaxさんのやり方ですと、例えば青枠のデータ一式をviewsフォルダなどに入れて、外部からアクセスできないようにするのはわかりますが、
> ガチガチに制限したいなら全ファイルLaravelを通して表示させる。
> /member/{file}のルーティングに対して
> コントローラーからはファイルを返す。
この方法はどのように実現するのでしょうか?
例えば、青枠フォルダの中のindex.htmlで呼ばれているCssやJSはどのようにアクセスが起こり、
その際にはどのようにそのファイルが指定されているかを見極めるのでしょうか?
0
ベストアンサー
Basic 認証の情報が漏洩するぐらいなら
Apache のみで Cookie によるアクセス制御をかける
で
<VirtualHost *:80> ServerName www.sourcewalker.com DocumentRoot "/var/www/localhost/htdocs" SetEnvIf Cookie password=\x22?pass\x22? site_password <Location /> Order deny,allow deny from all Allow from env=site_password </Location> <Files "/var/www/localhost/htdocs/auth.html"> Order allow,deny Allow from all </Files> </VirtualHost>
のようにすればいいと思います。
SetEnvIf にある Cookie password=\x22?pass\x22? は任意に変更してください
投稿2018/04/15 04:46
退会済みユーザー
総合スコア0
あっこれ綺麗ですね!かなり良さげ
>あっこれ綺麗ですね!かなり良さげ
うそーん…。
すごいどうでもいいけど
<Location />
</Location>
↑これの可読性の悪さ…w(Invalid な XML にしか見えない
ああ元サイトからコピーしてるからな・w・
<Location "/">
にしろよとおもったけどそこ直すとドメインもなおしたりしないと(いそいそ
もっと言えば apache 2.2 か 2.4 か切り分けるあの認証モジュール判定もいれないとだし(apache のバージョンを明言していたな)
認証するのはPHPなのに判別するのはApacheなんだぁ…。
ご回答ありがとうございます!
クッキーと言うことは、ブラウザで任意に付け加えたりできてしまい、
アカウントを持っていない人でもページあるいは画像等が見えてしまいそうですが……
その辺の解決策などはありますでしょうか?
Basic 認証埋め込み通信を見られたら終わりですが
Cookie 認証だと何に利用してるものかぱっと見わかりませんので
認証にこれをつかってるから勝手に埋め込まないでねとか書かない限り見られないかと
asahina先生は、ユーザーごとにみられるファイルが違う場合、ユーザーが増えるたびに.htaccess編集するの?
これは例
セクション:https://httpd.apache.org/docs/2.4/ja/sections.html
認証:https://httpd.apache.org/docs/2.4/ja/mod/mod_authz_host.html#requiredirectives
を組み合わせれば一度の記述でいけるよ
asahina先生、何いってんのかわかりません。
多分質問者はコントローラーでアクセス制御を行ったダウンロード以外の方法できいてるようなのだから
ワイルドカード指定とかもそれほどひどいことにはならないと思うんだが
asahina先生、何いってんのかわかりません。ユーザーごとにみられるファイルが違う場合、どうなるんですかっ?
lucker あなたのお望みはこんなのですか?
※ mod_rewrite でうまく偽装する部分は省いてあります。
<DirectoryMatch "/var/www/html/test/(.*)/css/(.*)">
RewriteEngine ON
RewriteCond %{HTTP_COOKIE} !UUID=%1
RewriteRule - - [F]
</DirectoryMatch>
こっちになると SetEnvIf の手じゃないが
0
静的な画像ファイル等へのリンクを出力する際
html
1<img src="https://user:password@example.com/secret.jpg" alt="">
のようにすれば認証素通りできると思います。
投稿2018/04/15 04:38
総合スコア5223
おおお!mpywさん!ご回答有難う御座います。
ちょうど、 https://qiita.com/mpyw/items/bb8305ba196f5105be15 の記事などを拝見しておりました!
https://user:password@example.com/secret.jpg
上記URLはBASIC認証の回避ということでしょうか?
また、これを実現するには、全部のURLに「user:password@」を指定していくしかない……という感じでしょうか?
>> 上記URLはBASIC認証の回避ということでしょうか?
Basic認証はURLに直接認証情報を埋め込むことができるのでそれを利用しています。
>> また、これを実現するには、全部のURLに「user:password@」を指定していくしかない……という感じでしょうか?
`ob_start()` のコールバックで出力内容を正規表現等で書き換える,ということはできます。あるいはLaravelを使っているのであればミドルウェアを挟むのもありですね。
これ、getで送るのか… https://user:password@example.com/secret.jpg
ご返信ありがとうございます!
> あるいはLaravelを使っているのであればミドルウェアを挟むのもあり
こちらなのですが、今後、青枠のフォルダーが増えていくので、ページのHTMLもpublicフォルダに入れており、
bladeでobjectタグを使って呼び出しています。
この場合でも、ミドルウェアは利用できるのでしょうか?
レンダリングされたHTMLを書き換えるだけなのでどんな場合でもできますよ(ただ手法としてはあんまりきれいじゃない)
あなたの回答
tips
プレビュー
