Q&A
回答ありがとうございます。
WordPressでのユーザー権限は最小限に設定して、直接会う人にURLを渡すなどして工夫はするつもりですが、やはりセキュリティ面で何かしら対策を考えないといけませんよね。
WordPressでは通常ログインフォームを経由して登録済のユーザーがログインして管理画面や会員専用ページなどにアクセスしますが、この際にログインフォームを経由せずにログインさせたいです。
使用方法の想定としては例えば小規模サークルや学校関係者などの仲間内で使うものでそこまで規模が大きくないが、ユーザー登録などに不慣れな層でもURLにアクセスするだけで簡単に使えるサイトを考えています。
登録ユーザー以外にはページやコンテンツを表示させないようにするけど、そこまで厳密にアクセスを排除したいわけでもないという使い方です。
URLを知っている人なら誰でもアクセスしてもいいユーザーAを作って、リンクを送ったり、QRコードから読み取ることで、ユーザーAとしてログインしてアクセスしてもらいます。
その上でサイトへのアクセスの利便性を高めるためにログインフォームを経由せずに初めてサイトを訪問する人や詳しくない人でも簡単に登録ユーザーとしてアクセスしてもらうための仕組みを考えています。
セキュリティやその他の画面遷移など問題点はあるかもしれませんが、WordPressの仕組みに詳しい方ならどのように実装するのか、みなさんの考え方を知りたいです。
追記
実現したいのは、ある特定のURLなどからアクセスしたらログインフォームを介さずにログインした状態でサイトを見れるというようなことです。
回答2件
0
WPのログインはwp_set_auth_cookieだけでできちゃうんで
これを実行するプログラムを呼び出すURLを作ればいいだけです
セキュリティー面ではmiyabi_takatsukさんの言う通りトークン付きにして
各QRコードハ一回しか使えないようにするとか期限付きにするとか
推定されにくい乱数を十分に含んだものにするとかした方がいいでしょうね
投稿2019/11/08 01:25
総合スコア7804
0
ベストアンサー
JavaScript使って、Ajaxでformでアカウント情報送信すれば良いのではないでしょうか?
おそらくですが、一度ログインすれば、
しばらくはセッションに残るようにはなるかと思います。
ですが、セキュリティはガバガバなので、悪用されても知りませんし、WordPress自体で許可していない可能性があり、そうだと、お手上げかと思います。
投稿2019/11/07 06:44
総合スコア9528
そうです。
いくら直接渡そうが、Webネットワーク上で存在する限り、悪いことしようとしている大人達はそんなセキュリティガバガバなサイトはすぐに見つけてしまいます。
そして、いくら権限を制限しても、ログインできてしまえば、様々な情報を盗めてしまう可能性があります。
まぁ、やるとすれば、一つは、
一時的なトークンを発行し、
トークン付きのURLを載せたメールを出し、そのトークンと、DBに登録したペアの端末情報を照合し、両方が合っていればログインさせる、とかですかね。
とにかく、その仕様のサイトのセキュリティを担保するには、プロレベルの技術が必要でしょう。
セキュリティトークンの考え方、非常に参考になりました。
トークンを発行して管理してとなると規模が大きくなってくるので、今回のケースには合わないかもしれないので、どのように運用するべきかを煮詰めて見直してみるように提案してみます。
詳細な追記と具体的な方策を提案して頂きましてありがとうございました。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2019/11/08 18:20