僕が考える最強の自動ログイン方法

公開日：2015年2月22日
最終更新日：2015年3月14日

Web アプリケーションの自動ログイン方法をネットで調べてみると、内容が不完全だったりセキュリティ上問題のある情報しか見つかりません。自動ログインは一般的であるにも関わらず、議論の土台すらネット上で示されていないのは問題だと感じます。

という訳で、タイトルは釣りですが、自動ログイン処理をどのように行えばよいか真面目に考察し、PHP での実装例を示してみます。

本当は、セキュリティでガチガチに固めたい場合は、自動ログインは実装しない方が安全なのですが、自動ログインそのものに対する課題は前提にあるとし、その課題を解消する方向で考えていきます。

まずは、自動ログインの定義を明確にしましょう。

「自動ログイン」とは、一度ログインしたら「ユーザーの選択」により、２回目以降のログインを省略できる機能のこととします。この機能が目的とするのは、ログインというユーザーの負担を省略することにより、ユーザーの負担を減少させ、ユーザー体験を向上させることです。

ここで「ユーザーの選択」を強調していることに注意してください。自動ログインはセキュリティレベルを下げる可能性があるため、あくまでオプションとして提供し、採用自体はユーザーに任せています。

また、自動ログインは、利便性とセキュリティの確保のため、以下の機能を持つものとします。

１．複数ブラウザ、複数パソコンで個別に管理される
２．想定されるセキュリティの脆弱性に対処する

１については、１つのブラウザやパソコンではログアウトして自動ログインを無効にするけれども、他の環境では自動ログインを継続するようなケースを想定しています。例えば、会社のパソコンではログアウトするけれども、自宅のパソコンでは自動ログインを有効にしておきたいようなケースです。

２がこの記事の主題です。ここをなんとかしないと最強の自動ログインは実現できません。

まず、大前提として自動ログインでは、以下の２点が担保されていなければ安全とは言えません。

・HTTPS による通信を行う
・ログイン画面から HTTPS にする

ログイン画面から HTTPS にするのは、ログイン画面が改ざんされていないことを保証するためです。ユーザーに安心感を与えることにもなるので、必須の対応です。

また、自動ログインを実現するためには、Cookie を利用することが必須です。しかし、Cookie に以下の情報を格納して自動ログインを実現することは NG です。暗号化しようがハッシュ化しようが NG なものは NG です。

・ユーザーID
・パスワード

これは、Cookie の性質として、Cookie の内容は人間が簡単に見ることができるし、クロスサイトスクリプティングの脆弱性によって攻撃者に盗まれる可能性があるためです。攻撃者の手に渡れば、これらの情報は簡単に悪用されてしまいます。

別の自動ログインの実現方法として、セッションの有効期間を２週間などの長期間にするとの方法も考えられますが、この場合、２つの問題が起こりえます。

１つ目は、サーバーリソースの問題です。自動ログインを必要としないユーザーを含めた多数のユーザーがログイン状態になって、サーバーのメモリを圧迫します。

２つ目の方が問題なのですが、長期間セッション状態を維持するということは、セッション ID を固定化するということでもあります。

これにより起こりうるリスクは、セッション ID の漏洩によってセッションハイジャック（のっとり）の被害を受けることです。セッション ID が長期間固定化されればされるほど、このリスクは高まります。

では、どうすればよいのか？

それは、一時的なトークンを用いて自動ログインを実現することです。

具体的には、一度目のログイン時に暗号論的擬似乱数生成器による乱数を生成し、それをトークンとして Cookie とサーバー側で保持します。そして、２回目以降のアクセスで、Cookie とサーバーのトークンを比較することで自動ログインを実現します。

この時、注意しなければいけないのは、トークンは「一時的」なものにする必要があるということです。トークンを固定にすると、セッション ID を長期間同じにすることと同じ問題、つまりセッションハイジャック（のっとり）のリスクが高まります。

この問題に対応するために、自動ログインでは、自動ログインが成功する度に、トークンの振り直しを行います。また、古いトークンは忘れずに削除します。

さらに安全にするために、Cookie のトークンでは、HttpOnly 属性と secure 属性を有効にします。

HttpOnly 属性を有効にすることにより、JavaScript から Cookie にアクセスできなくなり、クロスサイトスクリプティングの脆弱性による影響を緩和できます。secure 属性をつけることにより、HTTPS での通信でのみ Cookie の値をサーバーに送信するようになります。

これが自動ログインを安全に行うための対策です。

前置きが長くなりましたが、PHP で実装してみましょう。

環境は、PHP + MDB2 + MySQL になります。

処理は以下の図のようになります。

テーブルは以下のようになります。ここでは、USER_ID は固定で不変のものとします。また、AUTO_LOGIN テーブルの ID はオートインクリメントの数値です。

・USERS テーブル

USER_ID
PASSWORD

・AUTO＿LOGIN テーブル

ID
USER_ID
TOKEN
REGISTRATED_TIME

なお、今回は自動ログインの解説のため、ログイン処理を簡略化しています。ログイン処理の安全な実装には、salt とストレッチングを組み合わせたパスワード管理が必要です。パスワード管理については以下の記事を参照してください。

安全なパスワードの保存方法

■ログイン画面(login.php)

ログイン画面のポイントは、Cookie にトークンが設定されていれば、自動的にログイン処理にリダイレクトすることです。

<?php
  session_start();
 
   //トークンがセットされていたらリダイレクト
   if (isset($_COOKIE['token'])) {
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: logincheck.php");
   }

?>
<html>
<body>
  <h1>ログイン</h1>
  <form action="logincheck.php" method="post">
    ID:<input type="text" name="id"><br>
    Password:<input type="password" name="password"><br>
    自動ログイン:<input type="checkbox" name="auto" value="false"><br>
    <input type="submit" value="ログイン">
    <input type="reset" value="リセット">
  </form>
</body>
</html>

<?php

session_start();

//トークンがセットされていたらリダイレクト

if (isset($_COOKIE['token'])) {

header("HTTP/1.1 301 Moved Permanently");

header("Location: logincheck.php");

}

<html>

<body>

ID:<input type="text" name="id"><br>

Password:<input type="password" name="password"><br>

自動ログイン:<input type="checkbox" name="auto" value="false"><br>

</form>

</body>

</html>

■ログイン処理(logincheck.php)

ログイン処理には、自動ログインのキモなので重要な部分が多いのですが、いくつかポイントを説明します。

まず、トークンの生成ですが、openssl_random_pseudo_bytes (>=PHP5.3.0) とう関数を利用しています。この関数は、PHP で暗号論的擬似乱数生成器を用いた乱数を生成できます。また、乱数の桁数は 32 桁にしています。セッション ID と同等の強度です。

トークンは、サーバー側も Cookie も 2週間の期限をつけてあります。サーバーとクライアントの双方で期限を設けることにより、安全性が増すことを期待しています。

また、ログインが失敗した場合は、トークンの削除（サーバー側・Cookie）をしています。成功した場合も古いトークンを削除します。トークンは自動ログインの度に新規作成しますが、古いトークンが悪用されないようにするためです。

<?php
  require_once 'MDB2.php';
  session_start();

  //DNS 定義
  $GLOBALS['DNS'] = 'mysql://user01:pass@localhost/Test?charset=utf8';

  //パラメーター取得
  $id = $_POST['id'];
  $password = $_POST['password'];
  $auto = $_POST['auto'];
  $cookie_token = $_COOKIE['token'];

  //ログイン判定フラグ
  $normal_result = false;
  $auto_result = false;
  

  //簡易ログイン
  if (!isset($cookie_token)) {
   if (check_user($id, $password)) {
      $normal_result = true;
    }
  }

  //自動ログイン
  if (isset($cookie_token) ) {
    if (check_auto_login($cookie_token)) {
      $auto_result = true;
      $id = $_SESSION['USER_ID'];
    }
  }

  //ログイン判定
  if ($normal_result || $auto_result) {
    //ログイン成功
  	
    //セッション ID の振り直し
   session_regenerate_id(true);
    
    //トークン生成処理
    if (($normal_result && $auto == true) || $auto_result) {

      //トークンの作成
      $token = get_token();
    
     //トークンの登録
     register_token($id, $token);
 
     //自動ログインのトークンを２週間の有効期限でCookieにセット
     setCookie("token", $token, time()+60*60*24*14, "/", null, TRUE, TRUE);

    if ($auto_result) {
      //古いトークンの削除
      delete_old_token($cookie_token);
    }
  }


    //リダイレクト
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: welcome.php");
  } else {
    //ログイン失敗
  	
    //リダイレクト
    header("HTTP/1.1 301 Moved Permanently");
    header("Location: login.php");
  }

//---------------------------------------------------------------------------//
// ログイン処理
//---------------------------------------------------------------------------//
function check_user($id, $password) {
    
  //DB接続
  $db = MDB2::connect($GLOBALS['DNS'] );

  //プレースホルダで SQL 作成
  $sql = "SELECT COUNT(*) AS CNT FROM USERS WHERE USER_ID = ? AND PASSWORD = ?;";
  
  //パラメーターの型を指定
  $stmt = $db->prepare($sql, array('text', 'text'));

  //パラメーターを渡して SQL 実行
  $rs = $stmt->execute(array($id, $password));
  
  while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {
   $count = $row['cnt'];
  }

  $db->disconnect();
  if ($count == 1) {
   //ログイン成功
   return true;
  } else {
   //ログイン失敗
  return false;
  }
 }


//---------------------------------------------------------------------------//
//自動ログイン処理
 //--------------------------------------------------------------------------//
 function check_auto_login($token) {

  //DB接続
  $db = MDB2::connect($GLOBALS['DNS'] );

  //プレースホルダで SQL 作成
  $sql = "SELECT COUNT(*) AS CNT FROM AUTO_LOGIN WHERE TOKEN = ? AND REGISTRATED_TIME >= ?;";
  
  //パラメーターの型を指定
  $stmt = $db->prepare($sql, array('text', 'timestamp'));

  //2週間前の日付を取得
  $date = new DateTime("- 14 days");
 
  //パラメーターを渡して SQL 実行
  $rs = $stmt->execute(array($token, $date->format('Y-m-d H:i:s')));
  
  while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {
   $count = $row['cnt'];
  }

  $db->disconnect();

  if ($count ==1) {
    //自動ログイン成功

    //USER_ID を取得する

    //DB接続
    $db = MDB2::connect($GLOBALS['DNS'] );

   //プレースホルダで SQL 作成
    $sql = "SELECT * FROM AUTO_LOGIN WHERE TOKEN = ? AND REGISTRATED_TIME >= ?;";
  
    //パラメーターの型を指定
    $stmt = $db->prepare($sql, array('text', 'timestamp'));

    //2週間前の日付を取得
    $date = new DateTime("- 14 days");
 
    //パラメーターを渡して SQL 実行
    $rs = $stmt->execute(array($token, $date->format('Y-m-d H:i:s')));
  
    while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {
     $_SESSION['USER_ID']  = $row['user_id'];
    }

    $db->disconnect();


    return true;

  } else {
   //自動ログイン失敗

   //Cookie のトークンを削除
   setCookie("token", '', -1, "/", null, TRUE, TRUE);

    //古くなったトークンを削除
   delete_old_token($token);

    return false;
  }
}

//---------------------------------------------------------------------------//
//トークンの登録
//---------------------------------------------------------------------------//
 function register_token($id, $token) {

      //DB接続
    $db = MDB2::connect($GLOBALS['DNS'] );

    //プレースホルダで SQL 作成
    $sql = "INSERT INTO AUTO_LOGIN ( USER_ID, TOKEN, REGISTRATED_TIME) VALUES (?,?,?);";
  
    //パラメーターの型を指定
    $stmt = $db->prepare($sql, array('text','text','timestamp'));
  
    //パラメーターを渡して SQL 実行
    $stmt->execute(array($id, $token,date('Y-m-d H:i:s')));
 
    $db->disconnect();
 }

//---------------------------------------------------------------------------//
//トークンの削除
//---------------------------------------------------------------------------//
function delete_old_token($token) {
    //DB接続
    $db = MDB2::connect($GLOBALS['DNS'] );

    //プレースホルダで SQL 作成
    $sql = "DELETE  FROM AUTO_LOGIN WHERE TOKEN = ?";
  
    //パラメーターの型を指定
    $stmt = $db->prepare($sql, array('text'));
  
    //パラメーターを渡して SQL 実行
    $stmt->execute(array($token));
 
    $db->disconnect();
}

//---------------------------------------------------------------------------//
// トークンを作成
//---------------------------------------------------------------------------//
function get_token() {
  $TOKEN_LENGTH = 16;//16*2=32桁
  $bytes = openssl_random_pseudo_bytes($TOKEN_LENGTH);
  return bin2hex($bytes);
}
?>

100

101

102

103

104

105

106

107

108

109

110

111

112

113

114

115

116

117

118

119

120

121

122

123

124

125

126

127

128

129

130

131

132

133

134

135

136

137

138

139

140

141

142

143

144

145

146

147

148

149

150

151

152

153

154

155

156

157

158

159

160

161

162

163

164

165

166

167

168

169

170

171

172

173

174

175

176

177

178

179

180

181

182

183

184

185

186

187

188

189

190

191

192

193

194

195

196

197

198

199

200

201

202

203

204

205

206

207

208

209

210

211

212

213

214

215

216

217

218

<?php

require_once 'MDB2.php';

session_start();

//DNS 定義

$GLOBALS['DNS'] = 'mysql://user01:pass@localhost/Test?charset=utf8';

//パラメーター取得

$id = $_POST['id'];

$password = $_POST['password'];

$auto = $_POST['auto'];

$cookie_token = $_COOKIE['token'];

//ログイン判定フラグ

$normal_result = false;

$auto_result = false;

//簡易ログイン

if (!isset($cookie_token)) {

if (check_user($id, $password)) {

$normal_result = true;

}

//自動ログイン

if (isset($cookie_token) ) {

if (check_auto_login($cookie_token)) {

$auto_result = true;

$id = $_SESSION['USER_ID'];

}

//ログイン判定

if ($normal_result || $auto_result) {

//ログイン成功

//セッション ID の振り直し

session_regenerate_id(true);

//トークン生成処理

if (($normal_result && $auto == true) || $auto_result) {

//トークンの作成

$token = get_token();

//トークンの登録

register_token($id, $token);

//自動ログインのトークンを２週間の有効期限でCookieにセット

setCookie("token", $token, time()+60*60*24*14, "/", null, TRUE, TRUE);

if ($auto_result) {

//古いトークンの削除

delete_old_token($cookie_token);

}

//リダイレクト

header("HTTP/1.1 301 Moved Permanently");

header("Location: welcome.php");

} else {

//ログイン失敗

//リダイレクト

header("HTTP/1.1 301 Moved Permanently");

header("Location: login.php");

}

//---------------------------------------------------------------------------//

// ログイン処理

//---------------------------------------------------------------------------//

function check_user($id, $password) {

//DB接続

$db = MDB2::connect($GLOBALS['DNS'] );

//プレースホルダで SQL 作成

$sql = "SELECT COUNT(*) AS CNT FROM USERS WHERE USER_ID = ? AND PASSWORD = ?;";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text', 'text'));

//パラメーターを渡して SQL 実行

$rs = $stmt->execute(array($id, $password));

while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {

$count = $row['cnt'];

}

$db->disconnect();

if ($count == 1) {

//ログイン成功

return true;

} else {

//ログイン失敗

return false;

}

//---------------------------------------------------------------------------//

//自動ログイン処理

//--------------------------------------------------------------------------//

function check_auto_login($token) {

//DB接続

$db = MDB2::connect($GLOBALS['DNS'] );

//プレースホルダで SQL 作成

$sql = "SELECT COUNT(*) AS CNT FROM AUTO_LOGIN WHERE TOKEN = ? AND REGISTRATED_TIME >= ?;";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text', 'timestamp'));

//2週間前の日付を取得

$date = new DateTime("- 14 days");

//パラメーターを渡して SQL 実行

$rs = $stmt->execute(array($token, $date->format('Y-m-d H:i:s')));

while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {

$count = $row['cnt'];

}

$db->disconnect();

if ($count ==1) {

//自動ログイン成功

//USER_ID を取得する

//DB接続

$db = MDB2::connect($GLOBALS['DNS'] );

//プレースホルダで SQL 作成

$sql = "SELECT * FROM AUTO_LOGIN WHERE TOKEN = ? AND REGISTRATED_TIME >= ?;";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text', 'timestamp'));

//2週間前の日付を取得

$date = new DateTime("- 14 days");

//パラメーターを渡して SQL 実行

$rs = $stmt->execute(array($token, $date->format('Y-m-d H:i:s')));

while ($row = $rs->fetchRow(MDB2_FETCHMODE_ASSOC)) {

$_SESSION['USER_ID'] = $row['user_id'];

}

$db->disconnect();

return true;

} else {

//自動ログイン失敗

//Cookie のトークンを削除

setCookie("token", '', -1, "/", null, TRUE, TRUE);

//古くなったトークンを削除

delete_old_token($token);

return false;

}

//---------------------------------------------------------------------------//

//トークンの登録

//---------------------------------------------------------------------------//

function register_token($id, $token) {

//DB接続

$db = MDB2::connect($GLOBALS['DNS'] );

//プレースホルダで SQL 作成

$sql = "INSERT INTO AUTO_LOGIN ( USER_ID, TOKEN, REGISTRATED_TIME) VALUES (?,?,?);";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text','text','timestamp'));

//パラメーターを渡して SQL 実行

$stmt->execute(array($id, $token,date('Y-m-d H:i:s')));

$db->disconnect();

}

//---------------------------------------------------------------------------//

//トークンの削除

//---------------------------------------------------------------------------//

function delete_old_token($token) {

//DB接続

$db = MDB2::connect($GLOBALS['DNS'] );

//プレースホルダで SQL 作成

$sql = "DELETE FROM AUTO_LOGIN WHERE TOKEN = ?";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text'));

//パラメーターを渡して SQL 実行

$stmt->execute(array($token));

$db->disconnect();

}

//---------------------------------------------------------------------------//

// トークンを作成

//---------------------------------------------------------------------------//

function get_token() {

$TOKEN_LENGTH = 16;//16*2=32桁

$bytes = openssl_random_pseudo_bytes($TOKEN_LENGTH);

return bin2hex($bytes);

}

■Welcome 画面 (welcome.php)

Welcome 画面には、ログアウト機能をつけてあります。自動ログインは重要ですが、場合によりログアウトが必要になるためです。

実際の実装では、強制ブラウズなどの対策も必要になってくるでしょう。

<html>
<body>
  <h1>ようこそ</h1>
  
  <form action="logout.php" method="post">
    <input type="submit" name="logout" value="ログアウト">
  </form>
  
  <a href="https://www.websec-room.com/wp-admin/login.php">ログインに戻る</a>
</body>
</html>

<html>

<body>

</form>

<a href="https://www.websec-room.com/wp-admin/login.php">ログインに戻る</a>

</body>

</html>

■ログアウト処理(logout.php)

ログアウト処理には、特筆すべき点はありません。サーバー側と Cookie のトークンを削除しているだけです。

<?php
  require_once 'MDB2.php';
  session_start();

  $token = $_COOKIE['token'];

  //トークンを削除

   //DB接続
  $db = MDB2::connect('mysql://user01:pass@localhost/Test?charset=utf8');

  //プレースホルダで SQL 作成
  $sql = "DELETE  FROM AUTO_LOGIN WHERE TOKEN = ?";
  
  //パラメーターの型を指定
  $stmt = $db->prepare($sql, array('text'));
  
  //パラメーターを渡して SQL 実行
  $stmt->execute(array($token));
 
  $db->disconnect();

   //Cookie のトークンを削除
   setCookie("token", '', -1, "/", null, TRUE, TRUE);

   //リダイレクト
  header("HTTP/1.1 301 Moved Permanently");
  header("Location: login.php");
?>

<?php

require_once 'MDB2.php';

session_start();

$token = $_COOKIE['token'];

//トークンを削除

//DB接続

$db = MDB2::connect('mysql://user01:pass@localhost/Test?charset=utf8');

//プレースホルダで SQL 作成

$sql = "DELETE FROM AUTO_LOGIN WHERE TOKEN = ?";

//パラメーターの型を指定

$stmt = $db->prepare($sql, array('text'));

//パラメーターを渡して SQL 実行

$stmt->execute(array($token));

$db->disconnect();

//Cookie のトークンを削除

setCookie("token", '', -1, "/", null, TRUE, TRUE);

//リダイレクト

header("HTTP/1.1 301 Moved Permanently");

header("Location: login.php");

おわりに

自動ログイン処理の内容と PHP での実装を見てきましたが、いかがだったでしょうか。

簡単に思える自動ログインですが、いざ実装するとなると考慮することが多く、意外に長いコードになっているかと思います。

ですが、自動ログイン処理では、この程度の考慮は必要です。

ユーザーの利便性のためとはいえ、セキュリティレベルを下げる実装では、相応の対応が必要ということですね。

この記事が自動ログインの議論のきっかけになれば幸いです。

追記：クロスサイト・リクエストフォージェリ(CSRF)対策について

自動ログインを導入する際に、懸念されるであろう「クロスサイト・リクエストフォージェリ（CSRF）」の対策についても触れておきます。

結論から言うと、通常の CSRF 対策ができていれば、自動ログインを導入しても CSRF の脆弱性は発生しません。

一般的な CSRF の対策では、サーバー側で乱数で生成したトークンをブラウザに送信し、ブラウザは POST リクエストでトークンをサーバーに再送信することで、サーバー側で正しいリクエストかどうか判断します。

CSRF の詳しい内容は、以下の記事を参考にしてください。

では、自動ログインはどのようになるでしょうか。

仮に悪意あるサイトでリンクをクリックさせ、自動ログインのサイトにユーザーをアクセスさせようとしても、CSRF 対策がされているサイトでは、そもそも CSRF のトークンがないとリクエストは拒絶されてしまいます。

また、自動ログインで、サイトを表示するときにログイン画面にリダイレクトさせて認証を行うようにすれば、不正なリクエストを取り除けるのでなお安全です。

注意するとすれば、自動ログイン処理後に表示される画面で、重要な処理を自動実行されないような実装にしておく必要があるところでしょうか。

また、CSRF 対策の１つである、「重要な処理の実行時にパスワードの入力を求める」を実装しておけば、さらに安全です。Amazon のサイトでは、このような方法を採用していますね。

このように、自動ログインでは、CSRF の対策を正しく実装しておけば、CSRF の問題は発生しません。CSRF 対策の方が大変な気もしますが、自動ログインは正しい方法で実装すれば安全ということができるでしょう。

« 年末の「朝まで生セキュリティ」を視聴した感想

自動ログインは危険なものなのか？ »

カテゴリー:ブログ

Twitter でも、いろんな情報を発信しています。
@fnyaさんをフォロー

おわりに

追記：クロスサイト・リクエストフォージェリ(CSRF)対策について

関連記事

コメントを残す コメントをキャンセル

コメントを残すコメントをキャンセル