twitterアカウントを使用したログイン認証を作成しております。
以下の記述が使用しているログイン認証です。
twitterにて連携アプリを認証ボタンを押した際に返ってくる「callback.php」です。
php
1session_start(); 2 3//URLパラメータからoauth_verifierを取得 4if(isset($_GET['oauth_verifier']) && $_GET['oauth_verifier'] != ''){ 5 $sVerifier = $_GET['oauth_verifier']; 6}else{ 7 echo 'oauth_verifier error!'; 8 exit; 9} 10 11//リクエストトークンでOAuthオブジェクト生成 12$oOauth = new TwitterOAuth(CONSUMER_KEY,CONSUMER_SECRET,$_SESSION['requestToken'],$_SESSION['requestTokenSecret']); 13 14//oauth_verifierを使ってAccess tokenを取得 15$oAccessToken = $oOauth->getAccessToken($sVerifier); 16 17//取得した値をSESSIONに格納 18$_SESSION['oauthToken'] = $oAccessToken['oauth_token']; 19$_SESSION['oauthTokenSecret'] = $oAccessToken['oauth_token_secret']; 20$_SESSION['userId'] = $oAccessToken['user_id']; 21$_SESSION['screenName'] = $oAccessToken['screen_name']; 22 23//データベース接続 24try{ 25 $dbh = new PDO(DSN,DB_USER,DB_PASSWORD); 26}catch(PDOException $e){ 27 echo $e->getMessage(); 28 exit; 29} 30 31//ユーザー確認 32$sql ="SELECT * FROM users WHERE user_id = :id LIMIT 1"; 33$stmt = $dbh->prepare($sql); 34$stmt->execute(array(":id" => $_SESSION['userId'])); 35//↑ここでユーザー情報を取得してます。
ここで、自動ログイン認証のために、クッキーになにかしらユーザーを識別できる値を入れなくてはなりません。
ユーザー一覧のデータベースには、oauth_token、oauth_token_secret、user_id、screen_nameが入っており、どれかをクッキーに保存する必要があります。
この際に
PHP
1setCookie("token", $oAccessToken['oauth_token_secret'],time() + 60 * 60 * 24 * 15);
という処理を最後に追加し、次回以降15日間はクッキーが存在していたらoauth_token_secretで検索かけてユーザー確認をし自動ログインという仕様で作成しようと考えているのですが、
twitter APIが返すoauth_token_secretは、通常ですと誰からも知られることのない値になるのでしょうか。この仕様ですと、クッキーには常に同じ値が入ることになります。
あまりこの内容の記事などが見つけられなかったので、これがポピュラーなやり方か分かりません。この仕様でセキュリティ的に懸念される要素などございますか?教えていただけると幸いです。
また、上記の方法ではマズいという場合、代替案などあれば教えてくださると幸いです。(コードかコードが載ってあるブログで提案してくれるとありがたいです。)
回答1件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。