質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.12%

FacebookSDK for PHPでFacebook認証を実装したいがCSRF検証で引っかかる

解決済

回答 1

投稿

  • 評価
  • クリップ 0
  • VIEW 2,252

前提・実現したいこと

Facebook for PHPでFacebookログインを実装したいと考えています。
フレームワークはLaravelを使っており、開発環境はcloud9です。
(ちなみにlaravelのパッケージSocaliteは試しましたが別のエラーがどうしても修正出来ず諦めてこちらのSDKを使っております)

機能の流れとしては、FacebookSDKforPHPのスタートガイドにあるように、
・Facebookログイン用のURLを取得する
・URLにアクセスするとfacebook側の認証ダイヤログが出て、ID/PASSを入力して承認すると、設定したコールバックURLにリダイレクトする
・リダイレクトされたらアクセストークンを取得しセッションに保存する
という感じで実装しています。

発生している問題・エラーメッセージ

Facebookログインのリンクをクリックすると、facebook側の認証画面が出て、ID/PASSを入れ承認すると以下のようなエラーが発生します。

FacebookSDKException in FacebookRedirectLoginHelper.php line 246:
Cross-site request forgery validation failed. Required param "state" missing from persistent data.

CSRFの検証の部分でパラメータの"state"が無いよと言われているようです。

コードをたどっていくと、
FacebookRedirectLoginHelperクラスのvalidateCsrfメソッド内にある、

$savedState = $this->persistentDataHandler->get('state');

の中身がnullになっており、
多分セッション?にあるはずのstateというパラメータが無いために、CSRFの検証が出来ずエラーになっているようです。

ただ、同じFacebookRedirectLoginHelperのmakeUrlメソッド内でログインURLを作成する際に、以下のコードでstateをセッション?に保存しています。
(pesistentDataが永続データというのは分かるのですがこれがどこに保存されているのかよく分かっていません)

$state = $this->persistentDataHandler->get('state') ?: $this->pseudoRandomStringGenerator->getPseudoRandomString(static::CSRF_LENGTH);
$this->persistentDataHandler->set('state', $state);


この時点で$stateにランダムな文字列が格納されているのは確認済みです。

なので、ログインURLを作成した際に保存した"state"がログインURLをクリックして認証を終えて戻ってきたら消えていた、みたいなことかな、と考えていますが、原因が全くわかりません。

ちなみに、承認後facebookから返ってくるURLはこんな感じです。

https://emerge0-yorinton.c9users.io/auth/login/callback/facebook?code=xxxxxxxxxxxxxxx&state=xxxxxxxxxxxx#_=_


(codeとstateの値は読みやすさのために短くしています)
なので、コールバックURLにはちゃんとパラメータstateがついているので、後はそのpersistentDataにstateがあって、2つのstateが一致するばCSRF検証通過、ということかな、と考えています。

こちらについて原因・解決策が分かりましたら教えていただけますと幸いです。

補足情報(言語/FW/ツール等のバージョンなど)

・言語:PHP
・フレームワーク:Laravel
・開発環境:cloud9
・FacebookSDKのバージョン:v2.8

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 1

checkベストアンサー

0

Facebook\Helpers\FacebookRedirectLoginHelper はCSRF対策のため、セッションを利用するので、事前にセッションの利用を開始しておく必要があるらしいです。
http://qiita.com/AtsukiTak/items/dfadaaea45df8007f801

laravelのSocialiteであればGithub用ですけどこんな感じでやってますので何か参考になれば幸いです

Route::get('/stars/', function (Request $request) {

    #トークンの取得をクッキーから試みる
    $github_token = $request->cookie('github_token');
    $user_name = $request->cookie('user_name');
    #トークンがクッキーに設定されていなければ
    if(!isset($github_token) || !isset($user_name)){
        #Githubからのコールバックでトークンの取得を試みる
        try{
            $user = Socialite::driver('github')->user();
        } catch (Exception $e) {
            #GithubからのコールバックでなければユーザーをGithubへリダイレクトして
            #ユーザーにトークンの発行許可をしてもらう
            return Socialite::driver('github')
            ->redirect();
        }
        #トークンを取得して、次回以降も再利用するためにクッキーに設定する
        $github_token = $user->token;
        $user_name = $user->getNickname();
        Cookie::queue(Cookie::make('github_token', $github_token, 60*24*30));
        Cookie::queue(Cookie::make('user_name', $user_name, 60*24*30));
    }

    #取得したトークンを使用してユーザーのお気に入りのリポジトリリストをGithubから取得する
    $client = new Client();//use GuzzleHttp\Client;
    $query = [
            'per_page' => '100',
    ];
    try{
        $res = $client->get('https://api.github.com/users/'.$user_name.'/starred', [
                'query' => $query,
                'headers' => [
                        'Authorization' => ' token '.$github_token,
                ]
        ]);
    } catch (Exception $e) {
        #取得に失敗したのでトークンが無効になったものだと想定して、
        #クッキーに保存されているトークンを削除して再発行する
        Cookie::queue(Cookie::forget('github_token'));
        Cookie::queue(Cookie::forget('user_name'));
        return Socialite::driver('github')
        ->redirect();
    }
...

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2016/11/28 13:29

    ありがとうございます!
    Laravelを使っているのでセッションは問題無さそうでしたが、一応session_start()をログインURL作成時とコールバック時に入れてみましたがダメでした。

    ただSocialiteでTwitterログインを試してみようと思い、試したところ、confg/services.phpに加えてfacebook、twitterが反映されていないことに気づきました。
    原因は以前configをキャッシュしていて、そのキャッシュの方をずっと見ていたためです。
    もう一度php artisan config:cacheをするとうまくいきました!

    こんな簡単なことに気づかずお手数おかけしてしまいすみません。

    ご回答ありがとうございました!

    キャンセル

15分調べてもわからないことは、teratailで質問しよう!

  • ただいまの回答率 90.12%
  • 質問をまとめることで、思考を整理して素早く解決
  • テンプレート機能で、簡単に質問をまとめられる