Q&A
何時もありがとうございます。
参考サイトを読ませていただきました。
代理でログインユーザーをsessionで管理して、ユーザーページのrouteにアクセスした際にそのセッションがあればログインするのですね。
参考になりました。
ありがとうございます。
バックドアという表現が正しいかわかりませんが、ログイン画面を経由せず、ログイン情報を使用せずにログインをさせる方法についてお伺いしたいです。
管理画面が複数あるサイトを実装しているのですが、
管理画面間を代理でログイン出来るようなシステムを実装したいと考えています。
挙動自体はエラーではないので、エラーページも表示されず、laravelのエラーログにも残りません。
原因の探り方からでも構いませんのでご教示いただけないでしょうか?
実装したい事の概要
システム管理者とショップ管理者でそれぞれ管理画面の機能があります。
システム管理者は基本的に増えませんが、ショップはシステム管理者の管理画面から追加します。
運用上、ショップの作業をシステム管理者が代理で行いたい時もあります。
その時、システム管理者の機能に各ショップにログイン出来る仕組みを導入したいです。
ページ構成
URLとlaravelのルートは以下です。
本来は、パスワードリマインダーや管理画面の個々の機能もありますが省略します。
| url | route | 概要 |
|---|---|---|
| http://hoge.com/admin/login | admin.login | システム管理者のログイン |
| http://hoge.com/admin/shops/ | admin.shop.index | 登録されているスクール一覧。一覧の中に代理ログイン用のURLリンクが追加されます。 |
| http://hoge.com/admin/shops/{ショップのID}/proxy-login | admin.shops.proxy-login | 指定したログインIDを元に代理でログインします。ログイン処理後は処理完了後ショップのホーム画面に遷移します。 |
| http://hoge.com/shop/login | shop.login | 本来のショップのログイン画面です。 |
| http://hoge.com/shop/login | shop.logout | ショップのログアウト処理を行います。 |
| http://hoge.com/shop/ | shop.home | ログイン後に自動で遷移するショップのホーム画面です。 |
認証機能の設定
MultiAuthのサイトなので、gurdとproviderはそれぞれ設定しました。
下記のように、adminとshopと言う名前で下記のような設定をしています。
<?php return [ 'defaults' => [ 'guard' => 'admin', 'passwords' => 'admins', ], 'guards' => [ 'web' => [ 'driver' => 'session', 'provider' => 'users', ], 'admin' => [ 'driver' => 'session', 'provider' => 'admins' ], 'shop' => [ 'driver' => 'session', 'provider' => 'shops' ] ], 'providers' => [ 'admins' => [ 'driver' => 'eloquent', 'model' => App\Admin::class, ], 'shops' => [ 'driver' => 'eloquent', 'model' => App\Shop::class, ] ], ];
セッションについて
管理画面毎にログイン時のセッションが衝突しないように、別のセッション名になるように設定しています。
php
1use Illuminate\Support\Str; 2 3$defaultSession = Str::slug( 4 env('APP_NAME', 'laravel'), '_').'_session'; 5 6$conf = [ 7 (省略) 8]; 9 10// 管理画面のセッション切り替え 11$uri = isset($_SERVER['REQUEST_URI']) 12 ? $_SERVER['REQUEST_URI'] 13 : ''; 14 15if(strpos($uri, '/admin/') === 0 || $uri === '/admin') { 16 $conf['cookie'] = env( 17 'admin_session', 18 $defaultSession 19 ); 20} elseif(strpos($uri, '/shop/') === 0 || $uri === '/shop') { 21 $conf['cookie'] = env( 22 'shop_session', 23 $defaultSession 24 ); 25}
代理ログインの処理
管理者のControllerに、ログイン画面から個別のショップにログインする処理を追加しています。
ガードがadminからshopに変わりますので、ガードを新しく指定して、IDでログイン出来るようにloginUsingIdでログインさせます。
コントローラーの処理
ルートadmin.shops.proxy-loginで実行される処理が下記です。
$shop_urlには、ログイン先が検索できる固有のIDが入ります。
リダイレクト先のルートshop.home では、ミドルウェアでschoolにログイン済みか検証します。
もしログインされている事を確認できなければ、ログイン画面に遷移します。
php
1<?php 2use Illuminate\Http\Request; 3use App\Http\Controllers\Controller; 4use Illuminate\Support\Facades\Auth; 5 6class ShopController extends Controller 7{ 8 9 public function __construct() 10 { 11 $this->middleware('auth:admin'); 12 } 13 14 public function proxyLogin($shop_url) { 15 16 $shop = shop::where('shop_url', $shop_url); 17 18 // 存在しないURLの場合は元の画面に戻す 19 if(! $shop->exists() || $shop->count() > 1 ) { 20 return back(); 21 } 22 23 // ショップ管理画面のログイン 24 Auth::guard('shop')->logout(); 25 Auth::guard('shop')->loginUsingId($shop->first()->id); 26 27 // リダイレクト 28 return redirect()->route('shop.home'); 29 } 30}
実際の挙動
ショップのログイン画面にリダイレクトされます。
そのため、ログイン処理は成功していない事はわかります。
単純に、ショップの管理画面でログインすると正常にログイン出来ますので、ログイン側の処理に誤りがあるわけではなさそうです。
回答2件
0
ベストアンサー
基本的には、ご記載の方法で(loginUsingIdを使う方法)で合ってると思います。
問題は、セッション名を動的に変えている部分との干渉なのでは、と思います。
proxyLoginが実行されるときはセッション名がshop_sessionではなくadmin_sessionになっているため
admin_sessionにshopのログイン情報が書き込まれるからではないかと思います。
if文を追加するなどして調整してみてはいかがでしょうか
そもそも、shopとadminのセッションが別な理由が
ショップにログインしつつアドミンもログインさせたい、という理由であればMultiAuthの時点で対応している気がします。(衝突しないはず)
なのでセッションについての項目はひょっとして不要で、そこを消せば思惑通り動く気がします
投稿2019/07/05 04:34
総合スコア5036
0
ユーザーなりすましとして、UserモデルのonceUsingIdメソッドと、ミドルウェアを組み合わして実現する、以下の記事を参考にしてみてください。
Easily impersonate any user in a Laravel Application
投稿2019/07/05 03:09
総合スコア4106
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/07/05 09:18