Zend_OpenId_Consumer の基本

Zend_OpenId_Provider(日本語)

Zend_OpenId_Provider は、OpenID サーバを実装するために使用するものです。 本章では、とりあえず動作するサーバを作成するための初歩的な例を説明します。 しかし、実際に運用する OpenID サーバ (» www.myopenid.com などのようなもの) を実装するには、より複雑な問題に対応する必要があります。

クイックスタート

以下の識別子は、Zend_OpenId_Provider::register を使用してユーザアカウントを作成するコードを含みます。 rel="openid.server" が指定されているリンク要素は、 自前のサーバスクリプトを指しています。この識別子を OpenID 対応のサイトに送信すると、このサーバ上での認証を行います。

<html> より前のコードは、 自動的にユーザアカウントを作成するためのちょっとしたおまじないです。 実際の識別子を使用する場合は、このようなコードは不要です。

Example #1 識別子

  1. <?php
  2. // テスト用の識別子を準備します
  3. define("TEST_SERVER", Zend_OpenId::absoluteURL("example-8.php"));
  4. define("TEST_ID", Zend_OpenId::selfURL());
  5. define("TEST_PASSWORD", "123");
  6. $server = new Zend_OpenId_Provider();
  7. if (!$server->hasUser(TEST_ID)) {
  8.     $server->register(TEST_ID, TEST_PASSWORD);
  9. }
  10. ?>
  11. <html><head>
  12. <link rel="openid.server" href="<?php echo TEST_SERVER;?>" />
  13. </head><body>
  14. <?php echo TEST_ID;?>
  15. </body></html>

次の識別サーバスクリプトは、OpenID 対応のサイトからの二種類のリクエスト (関連付けと認証) を処理します。どちらについても、同じメソッド Zend_OpenId_Provider::handle で処理します。 Zend_OpenId_Provider へ渡すふたつの引数は ログイン URL と信頼済みページの URL で、 これらはエンドユーザから指定されたものです。

成功した場合、Zend_OpenId_Provider::handle メソッドは文字列を返します。これはそのまま OpenID 対応のサイトに戻さなければなりません。 失敗した場合は FALSE を返します。 この例では、失敗した場合に HTTP 403 レスポンスを返しています。 このページをウェブブラウザで表示しようとすると、 HTTP 403 レスポンスが返されます。リクエストが OpenID 形式ではなかったからです。

Example #2 シンプルな識別プロバイダ

  1. $server = new Zend_OpenId_Provider("example-8-login.php",
  2.                                    "example-8-trust.php");
  3. $ret = $server->handle();
  4. if (is_string($ret)) {
  5.     echo $ret;
  6. } else if ($ret !== true) {
  7.     header('HTTP/1.0 403 Forbidden');
  8.     echo 'Forbidden';
  9. }

Note: この処理、そしてその後の対話形式のスクリプトではセキュアな接続 (HTTPS) を使うことをお勧めします。 これは、パスワードの漏洩を防ぐためです。

次のスクリプトは、識別サーバ Zend_OpenId_Provider 用のログイン画面を実装したものです。 ユーザがまだログインしていない場合は、このページにリダイレクトします。 このページでユーザがパスワードを入力してログインを行います。

この識別子スクリプトからのユーザ登録時のパスワードは "123" です。

送信すると、このスクリプトは Zend_OpenId_Provider::login にエンドユーザの識別子とパスワードを渡し、識別プロバイダのスクリプトにリダイレクトします。 成功した場合、Zend_OpenId_Provider::login はエンドユーザと識別プロバイダの間のセッションを確立し、 ログインしたユーザの情報を保存します。 それ以降、同一ユーザからのリクエストでは (別の OpenID 対応ウェブサイトからのものであったとしても) 認証処理が不要となります。

Note: このセッションは、エンドユーザと識別プロバイダの間だけのものであることに注意しましょう。 OpenID 対応のサイトは、このセッションについて何も知ることができません。

Example #3 シンプルなログイン画面

  1. <?php
  2. $server = new Zend_OpenId_Provider();
  3.  
  4. if ($_SERVER['REQUEST_METHOD'] == 'POST' &&
  5.     isset($_POST['openid_action']) &&
  6.     $_POST['openid_action'] === 'login' &&
  7.     isset($_POST['openid_identifier']) &&
  8.     isset($_POST['openid_password'])) {
  9.     $server->login($_POST['openid_identifier'],
  10.                    $_POST['openid_password']);
  11.     Zend_OpenId::redirect("example-8.php", $_GET);
  12. }
  13. ?>
  14. <html>
  15. <body>
  16. <form method="post">
  17. <fieldset>
  18. <legend>OpenID ログイン</legend>
  19. <table border=0>
  20. <tr>
  21. <td>Name:</td>
  22. <td>
  23. <input type="text"
  24.        name="openid_identifier"
  25.        value="<?php echo htmlspecialchars($_GET['openid_identity']);?>">
  26. </td>
  27. </tr>
  28. <tr>
  29. <td>Password:</td>
  30. <td>
  31. <input type="text"
  32.        name="openid_password"
  33.        value="">
  34. </td>
  35. </tr>
  36. <tr>
  37. <td>&nbsp;</td>
  38. <td>
  39. <input type="submit"
  40.        name="openid_action"
  41.        value="login">
  42. </td>
  43. </tr>
  44. </table>
  45. </fieldset>
  46. </form>
  47. </body>
  48. </html>

ユーザがログインしているというだけでは、認証が成功したとは言い切れません。 個々の OpenID 対応サイトについて、 それを信頼するかどうかをユーザが決めることができます。 次の信頼画面は、エンドユーザにそれを選択させるものです。 この選択は、現在のリクエストのみ行うか、あるいは "永久に" 行うかのいずれかとなります。 後者の場合は、信頼するサイト/しないサイト の情報が内部データベースに保存され、 このサイトからの次回以降の認証リクエストは自動的に処理されるようになります。

Example #4 シンプルな信頼画面

  1. <?php
  2. $server = new Zend_OpenId_Provider();
  3.  
  4. if ($_SERVER['REQUEST_METHOD'] == 'POST' &&
  5.     isset($_POST['openid_action']) &&
  6.     $_POST['openid_action'] === 'trust') {
  7.  
  8.     if (isset($_POST['allow'])) {
  9.         if (isset($_POST['forever'])) {
  10.             $server->allowSite($server->getSiteRoot($_GET));
  11.         }
  12.         $server->respondToConsumer($_GET);
  13.     } else if (isset($_POST['deny'])) {
  14.         if (isset($_POST['forever'])) {
  15.             $server->denySite($server->getSiteRoot($_GET));
  16.         }
  17.         Zend_OpenId::redirect($_GET['openid_return_to'],
  18.                               array('openid.mode'=>'cancel'));
  19.     }
  20. }
  21. ?>
  22. <html>
  23. <body>
  24. <p>
  25. <a href="<?php echo htmlspecialchars($server->getSiteRoot($_GET));?>">
  26. <?php echo htmlspecialchars($server->getSiteRoot($_GET));?>
  27. </a>
  28. というサイトが、あなたの識別 URL
  29. <a href="<?php echo htmlspecialchars($server->getLoggedInUser());?>">
  30. <?php echo htmlspecialchars($server->getLoggedInUser());?>
  31. </a>
  32. の確認を求めてきました。
  33. </p>
  34. <form method="post">
  35. <input type="checkbox" name="forever">
  36. <label for="forever">永久に</label><br>
  37. <input type="hidden" name="openid_action" value="trust">
  38. <input type="submit" name="allow" value="許可する">
  39. <input type="submit" name="deny" value="拒否する">
  40. </form>
  41. </body>
  42. </html>

実際に運用されている OpenID サーバは、通常は Simple Registration Extension に対応しています。 これを使用すると、ユーザについての情報を コンシューマがプロバイダに問い合わせることが可能となります。 この場合、信頼済みのページではユーザの情報を取得できるようになります。

すべてを組み合わせる

プロバイダのすべての関数をひとつのスクリプトにまとめることもできます。 この場合はログイン URL と信頼済み URL は省略され、 Zend_OpenId_Provider は同一ページに GET 引数 "openid.action" を追加した場所を指すことになります。

Note: 次の例は完全なものではありません。 エンドユーザ向けの GUI を提供していませんが、 ログインと信頼処理を自動的に行います。 これはサンプルをできるだけシンプルにするための処置であり、 実際のサーバでは、先ほどのサンプルのようなコードも必要となります。

Example #5 すべてをまとめたもの

  1. $server = new Zend_OpenId_Provider();
  2.  
  3. define("TEST_ID", Zend_OpenId::absoluteURL("example-9-id.php"));
  4. define("TEST_PASSWORD", "123");
  5.  
  6. if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
  7.     isset($_GET['openid_action']) &&
  8.     $_GET['openid_action'] === 'login') {
  9.     $server->login(TEST_ID, TEST_PASSWORD);
  10.     unset($_GET['openid_action']);
  11.     Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
  12. } else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
  13.     isset($_GET['openid_action']) &&
  14.     $_GET['openid_action'] === 'trust') {
  15.     unset($_GET['openid_action']);
  16.     $server->respondToConsumer($_GET);
  17. } else {
  18.     $ret = $server->handle();
  19.     if (is_string($ret)) {
  20.         echo $ret;
  21.     } else if ($ret !== true) {
  22.         header('HTTP/1.0 403 Forbidden');
  23.         echo 'Forbidden';
  24.     }
  25. }

この例を先ほどの複数ページ分割版と比べてみると、 振り分け処理のコード以外の違いは一か所だけであることに気づかれることでしょう。 そう。 unset($_GET['openid_action']) の部分です。 この unset() は、次のリクエストをメインハンドラにまわすために必要となります。

Simple Registration Extension

次に示す識別子ページには、またもやおまじないが組み込まれています。 ここでは新たなユーザアカウントの作成を行い、それをプロファイル (ニックネームとパスワード) と関連付けています。 実際の環境ではこのような処理は不要です。エンドユーザは OpenID サーバ上でこれらの情報を登録するからです。 しかし、これらの登録用の GUI の実装についてはこのマニュアルでは取り上げません。

Example #6 プロファイルを関連付けた識別子

  1. <?php
  2. define("TEST_SERVER", Zend_OpenId::absoluteURL("example-10.php"));
  3. define("TEST_ID", Zend_OpenId::selfURL());
  4. define("TEST_PASSWORD", "123");
  5. $server = new Zend_OpenId_Provider();
  6. if (!$server->hasUser(TEST_ID)) {
  7.     $server->register(TEST_ID, TEST_PASSWORD);
  8.     $server->login(TEST_ID, TEST_PASSWORD);
  9.     $sreg = new Zend_OpenId_Extension_Sreg(array(
  10.         'nickname' =>'test',
  11.         'email' => 'test@test.com'
  12.     ));
  13.     $root = Zend_OpenId::absoluteURL(".");
  14.     Zend_OpenId::normalizeUrl($root);
  15.     $server->allowSite($root, $sreg);
  16.     $server->logout();
  17. }
  18. ?>
  19. <html>
  20. <head>
  21. <link rel="openid.server" href="<?php echo TEST_SERVER;?>" />
  22. </head>
  23. <body>
  24. <?php echo TEST_ID;?>
  25. </body>
  26. </html>

この識別子を OpenID 対応のサイト (ここでは、先ほどの章の Simple Registration Extension のサンプルを使用します) に渡し、そのサイトは次の OpenID サーバスクリプトを使用します。

これは、先ほどの "すべてを組み合わせる" 例を少し変更したものです。 自動ログインの仕組みは同様に使用していますが、 信頼済みページに関する情報は含んでいません。 ユーザは既に、このサンプルのスクリプトを "永久に" 信頼しています。 これを行っているのは、識別子スクリプトの Zend_OpenId_Provider::alowSite メソッドです。 同じメソッドでプロファイルと信頼済み URL を関連付け、 信頼済み URL からリクエストがあった場合にこのプロファイルが自動的に返されます。

Simple Registration Extension を動作させるために唯一必要なのは、 Zend_OpenId_Extension_Sreg のオブジェクトを Zend_OpenId_Provider::handle の 2 番目の引数として渡すことです。

Example #7 SREG を使用したプロバイダ

  1. $server = new Zend_OpenId_Provider();
  2. $sreg = new Zend_OpenId_Extension_Sreg();
  3.  
  4. define("TEST_ID", Zend_OpenId::absoluteURL("example-10-id.php"));
  5. define("TEST_PASSWORD", "123");
  6.  
  7. if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
  8.     isset($_GET['openid_action']) &&
  9.     $_GET['openid_action'] === 'login') {
  10.     $server->login(TEST_ID, TEST_PASSWORD);
  11.     unset($_GET['openid_action']);
  12.     Zend_OpenId::redirect(Zend_OpenId::selfUrl(), $_GET);
  13. } else if ($_SERVER['REQUEST_METHOD'] == 'GET' &&
  14.     isset($_GET['openid_action']) &&
  15.     $_GET['openid_action'] === 'trust') {
  16.    echo "信頼されていないデータ" ;
  17. } else {
  18.     $ret = $server->handle(null, $sreg);
  19.     if (is_string($ret)) {
  20.         echo $ret;
  21.     } else if ($ret !== true) {
  22.         header('HTTP/1.0 403 Forbidden');
  23.         echo 'Forbidden';
  24.     }
  25. }

それ以外には?

OpenID サーバの作成は、 OpenID 対応のサイトの作成ほど頻繁に行うものではありません。 そこで、Zend_OpenId_Consumer のマニュアルとは異なり Zend_OpenId_Provider のマニュアルではすべての機能を網羅することをやめます。

残っている機能について簡単にまとめると、次のようになります。

  • エンドユーザ向けの GUI インターフェイスを作成するためのメソッド群。 ユーザの登録、信頼済みサイトやプロファイルの設定などを行えるようにします。

  • ユーザやサイト、プロファイルといった情報を格納するための抽象化された保存レイヤ。 ここには、プロバイダと OpenID 対応サイトとの関連付け情報も保存します。 このレイヤは Zend_OpenId_Consumer のものと非常によく似ています。 デフォルトではファイルストレージを使用しますが、 別の実装で置き換えることも可能です。

  • エンドユーザのウェブブラウザとログイン識別子を関連付けるための、 ユーザ関連付けの抽象化レイヤ。

Zend_OpenId_Provider は、 OpenID サーバが実装できる全機能をサポートしているわけではありません (たとえばデジタル証明書など)。しかし、 Zend_OpenId_Extension を使用したり子クラスを作成したりして、 簡単に拡張することが可能です。


Zend_OpenId_Consumer の基本