ホーム>PHPソースコード>その他のカテゴリー
ダウンロード

palladium

(進行中: 2.0 のドキュメント)

ユーザー識別を処理するためのライブラリ。

このライブラリの目的は、特定の ID 証明に基づいてユーザーのアカウント (正確には、その一意の ID) を特定し、さまざまなタイプの ID を管理することです。これは、識別、登録、検索、回復の 4 つの異なるサービスで構成されます。

インストール

次のコマンドを使用して、composer を使用してライブラリをプロジェクトに追加できます。 

composer require teresko/ palladium

このパッケージを使用するには、PHP バージョン 7.0 以降と PDO が必要です。

ID を保存するテーブルを作成する必要もあります。スキーマの例はここから入手できます。現在、このライブラリには MySQL/MariaDB のテーブル定義のみが含まれていますが、このライブラリは PDO ドライバーを備えた任意の RDBMS で使用できます。

初期化

palladium 、 RegistrationIdentificationSearchRecoveryの 4 つのサービスが含まれています。これらのサービスにはそれぞれ、次の 2 つの必須の依存関係があります。

  • リポジトリ ( palladium ContractCanPersistIdenityを実装する)
  • ロガー ( PsrLogLoggerInterfaceを実装する)

これにより、永続化抽象化レイヤーの一部を変更または置き換える場合に、デフォルトのリポジトリを置き換えるオプションが提供されます。ロガーに関しては、Monolog を使用することが推奨されていますが、互換性のある任意のロギング システムで動作します。

デフォルト リポジトリには、独自の ID タイプまたは組み込み ID タイプのいずれかに使用されるカスタム ID タイプとデータ マッパーを追加するための機能も付属しています。使用法の詳細については、「%TODO%」セクションを参照してください。

オプションのパラメータ

Identificationサービスのコンストラクターには、オプションの 3 番目と 4 番目のパラメーターがあります。

  • Cookie の有効期間 (秒単位)。デフォルトは 4 時間です。
  • ハッシュ コスト (BCrypt の場合)、デフォルトは 12

Registrationサービスのコンストラクターには、オプションの 3 番目のパラメーターがあります。

  • ハッシュ コスト (BCrypt の場合)、デフォルトは 12

リポジトリのセットアップ

上で述べたように、4 つのサービスはすべて、コンストラクターの依存関係としてリポジトリを想定しています。バンドルされたリポジトリをカスタム バージョンに置き換えない場合は、 palladium RepositoryIdentity初期化し、それをサービスに渡す必要があります。

バンドルされたリポジトリ自体には、 palladium ContractCanCreateMapper実装するインスタンスという単一の依存関係があります。このコントラクト (インターフェイス) はpalladium ComponentMapperFactoryによって実装されます。そして、このファクトリには 2 つの依存関係があります。PDO PDOと、 ID が保存されるテーブルの名前です。

palladiumComponentMapperFactory(new PDO(...$config), $tableName); $repository = new palladium RepositoryIdentity($factory);">
 <?php

$ factory = new  palladium  Component  MapperFactory ( new  PDO (... $ config ), $ tableName );
$ repository = new  palladium  Repository  Identity ( $ factory );

他のすべてのコード例で$repository変数が使用されている場合は、このコード サンプルを使用して初期化されていると考えることができます。

DIコンテナと併用する

Symfony の dependencyInjection コンポーネント (バージョン: 3.4+) のユーザー向けに、サンプル設定ファイル: %TODO% があります。

使用法

新しいアイデンティティの登録

palladiumServiceRegistration($repository, $logger); $identity = $registration->createStandardIdentity('[email protected]', 'password'); $registration->bindAccountToIdentity($accountId, $identity);">
 <?php

$ registration = new  palladium  Service  Registration ( $ repository , $ logger );

$ identity = $ registration -> createStandardIdentity ( ' [email protected] ' , ' password ' );
$ registration -> bindAccountToIdentity ( $ accountId , $ identity );

操作が正常に完了すると、 $identity変数には未検証のStandardIdentityのインスタンスが含まれます。検証を完了するには、ID に含まれるトークンを使用する必要があります。この例では、このトークンは$instance->getToken()使用して評価できます。

電子メールがすでに別の ID に使用されている場合、 createStandardIdentity()メソッドはIdentityConflict例外をスローする可能性があります。

createStandardIdentity()メソッドにはオプションの 3 番目のパラメーターがあり、電子メール検証トークンの有効期間を秒単位で定義します。適用すると、前の例は次のようになります。

palladiumServiceRegistration($repository, $logger); $identity = $registration->createStandardIdentity('[email protected]', 'password', 3600); $registration->bindAccountToIdentity($accountId, $identity);">
 <?php

$ registration = new  palladium  Service  Registration ( $ repository , $ logger );

$ identity = $ registration -> createStandardIdentity ( ' [email protected] ' , ' password ' , 3600 );
$ registration -> bindAccountToIdentity ( $ accountId , $ identity );

これにより、このユーザーの ID が登録されてから 1 時間、検証トークンが使用可能になります。一定の時間が経過すると、 SearchサービスのfindStandardIdentityByToken()使用してこの ID を見つけることができなくなります。

重要: createStandardIdentity()メソッドは、ユーザーの電子メールやその他の種類の識別子を検証しません。一意性をチェックするだけです。電子メール、電話番号、ニックネーム、その他の識別子の検証は、このライブラリの範囲外です。

本人確認

palladiumServiceSearch($repository, $logger); $registration = new palladium ServiceRegistration($repository, $logger); $identity = $search->findStandardIdentityByToken($token, palladium EntityIdentity::ACTION_VERIFY); $registration->verifyStandardIdentity($identity);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ registration = new  palladium  Service  Registration ( $ repository , $ logger );

$ identity = $ search -> findStandardIdentityByToken ( $ token ,  palladium  Entity Identity:: ACTION_VERIFY );
$ registration -> verifyStandardIdentity ( $ identity );

$token値は、一致するEmailIdentity見つけるために使用され、その後検証されます。 ID が見つからない場合、 findStandardIdentityByToken() IdentityNotFound例外をスローします。

メールアドレスとパスワードでログイン

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($repository, $logger); $identity = $search->findStandardIdentityByIdentifier($identifier); $cookie = $identification->loginWithPassword($identity, $password);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ repository , $ logger );

$ identity = $ search -> findStandardIdentityByIdentifier ( $ identifier );
$ cookie = $ identification -> loginWithPassword ( $ identity , $ password );

指定された識別子 (電子メール アドレスなど) と一致する ID が見つからない場合、 findStandardIdentityByIdentifier()メソッドはIdentityNotFound例外をスローします。

パスワードが一致しない場合、 loginWithPassword()メソッドはPasswordMismatch例外をスローします。

新しい使い捨てログインの作成

 <?php

$ identity = $ this -> registration -> createNonceIdentity ( $ accountId );

これにより、 NonceIdentityの新しいインスタンスが作成されます。ログインに使用するには、 NonceIdentity::getIdentifier()およびNonceIdentity::getKey()の値が必要になります。識別子は nonce ID を見つけるために使用され、キーは検証に使用されます。

createNonceIdentity()メソッドはオプションの 2 番目のパラメーターで、この使い捨て ID の有効期間を秒単位で定義します。適用すると、前の例は次のようになります。 

 <?php

$ identity = $ this -> registration -> createNonceIdentity ( $ accountId , 600 );

これにより、使い捨て ID は作成後 10 分間使用できるようになります。許可された時間が経過した後、この ID をIdentificationuseNonceIdentity()メソッドに渡すと、 IdentityExpired例外がスローされます。

nonceでログイン

 <?php

$ identity = $ this -> search -> findNonceIdentityByIdentifier ( $ identifier );
$ cookie = $ this -> identification -> useNonceIdentity ( $ identity , $ key );

指定された識別子 (電子メール アドレス、ニックネームなど) と一致する ID が見つからない場合、 findNonceIdentityByIdentifier()メソッドはIdentityNotFound例外をスローします。

パスワードが一致しない場合、 useNonceIdentity()メソッドはKeyMismatch例外をスローします。

Cookieを使用してログインする

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($repository, $logger); $identity = $search->findCookieIdentity($accountId, $series); $cookie = $identification->loginWithCookie($identity, $key);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ repository , $ logger );

$ identity = $ search -> findCookieIdentity ( $ accountId , $ series );
$ cookie = $ identification -> loginWithCookie ( $ identity , $ key );

findCookieIdentity()を使用して Cookie が見つからない場合は、標準のIdentityNotFound例外がスローされます。考えられる原因は、Cookie がアクティブでなくなっているか (ユーザーがログアウトしたなど)、Cookie がまったく存在していないことです。

場合によっては、Cookie が古すぎる場合、 loginWithCookie() IdentityExpired例外を生成します。

ただし、 loginWithCookie()メソッドはCompromisedCookie例外を生成することもあります。この例外が表示された場合は、Cookie が盗まれたか、ユーザーが新しい Cookie 値を受け取っていないことを示している可能性があります

侵害された Cookie をブロックする

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($repository, $logger); $identity = $search->findCookieIdentity($accountId, $series); $identification->blockIdentity($identity);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ repository , $ logger );

$ identity = $ search -> findCookieIdentity ( $ accountId , $ series );
$ identification -> blockIdentity ( $ identity );

これは、盗まれるかどうかわからない疑わしい Cookie に対処するための推奨される方法です。これはユーザーをログアウトすることを目的としたものではありません

ログアウト

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($repository, $logger); $identity = $search->findCookieIdentity($accountId, $series); $identification->logout($identity, $key);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ repository , $ logger );

$ identity = $ search -> findCookieIdentity ( $ accountId , $ series );
$ identification -> logout ( $ identity , $ key );

この操作により、Cookie は「破棄」としてマークされます。生成できる例外のリストは、「Cookie を使用したログイン」セクションで説明されているものと一致します。

パスワードリセットプロセスを開始しています

palladiumServiceSearch($repository, $logger); $recovery = new palladium ServiceRecovery($repository, $logger); $identity = $search->findStandardIdentityByIdentifier($identifier); $token = $recovery->markForReset($identity);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ recovery = new  palladium  Service  Recovery ( $ repository , $ logger );

$ identity = $ search -> findStandardIdentityByIdentifier ( $ identifier );
$ token = $ recovery -> markForReset ( $ identity );

指定された電子メール アドレスと一致する ID が見つからない場合、 findStandardIdentityByIdentifier()メソッドはIdentityNotFound例外をスローします。

markForReset()を呼び出すときは、すでに検証されているStandardIdentityのインスタンスを指定する必要があります (そうしないと、アプリケーションからユーザーの個人情報が漏洩する可能性があります)。そうでない場合、メソッドはIdentityNotVerified例外をスローします。

markForReset()メソッドはオプションの 2 番目のパラメータで、パスワード リセット トークンの有効期間を秒単位で定義します。適用すると、前の例は次のようになります。

palladiumServiceSearch($repository, $logger); $recovery = new palladium ServiceRecovery($repository, $logger); $identity = $search->findStandardIdentityByIdentifier($identifier); $token = $recovery->markForReset($identity, 7200);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ recovery = new  palladium  Service  Recovery ( $ repository , $ logger );

$ identity = $ search -> findStandardIdentityByIdentifier ( $ identifier );
$ token = $ recovery -> markForReset ( $ identity , 7200 );

これにより、このユーザーの ID がリセット対象としてマークされてから 2 時間、パスワード リセット トークンが使用可能になります。許可された時間が経過すると、 SearchサービスのfindEmailIdentityByToken()を使用してこの ID を見つけることができなくなります。

パスワードリセット完了

palladiumServiceSearch($repository, $logger); $recovery = new palladium ServiceRecovery($repository, $logger); $identity = $search->findEmailIdentityByToken($token, palladium EntityIdentity::ACTION_RESET); $recovery->resetIdentityPassword($identity, 'foobar');">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ recovery = new  palladium  Service  Recovery ( $ repository , $ logger );

$ identity = $ search -> findEmailIdentityByToken ( $ token ,  palladium  Entity Identity:: ACTION_RESET );
$ recovery -> resetIdentityPassword ( $ identity , ' foobar ' );

指定されたトークンと一致する ID が見つからない場合、 findEmailIdentityByToken()メソッドはIdentityNotFound例外をスローします。

電子メール ID のパスワードの変更

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($repository, $logger); $identity = $search->findStandardIdentityByIdentifier($identifier); $identification->changePassword($identity, $oldPassword, $newPassword);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ repository , $ logger );

$ identity = $ search -> findStandardIdentityByIdentifier ( $ identifier );
$ identification -> changePassword ( $ identity , $ oldPassword , $ newPassword );

指定された電子メール アドレス (またはその他のタイプの識別子) と一致する ID が見つからない場合、 findStandardIdentityByIdentifier()メソッドはIdentityNotFound例外をスローします。

パスワードが一致しない場合、 changePassword()メソッドはPasswordMismatch例外をスローします。

ID の一括ログアウト

palladiumServiceSearch($repository, $logger); $identification = new palladium ServiceIdentification($factory, $logger); $list = $search->findIdentitiesByParentId($identity->getId()); $identification->discardIdentityCollection($list);">
 <?php

$ search = new  palladium  Service  Search ( $ repository , $ logger );
$ identification = new  palladium  Service  Identification ( $ factory , $ logger );

$ list = $ search -> findIdentitiesByParentId ( $ identity -> getId ());
$ identification -> discardIdentityCollection ( $ list );

findIdentitiesByParentId()の戻り値はIdentityCollectionを返しますが、空にすることもできます。

ユーザーアクティビティのログ記録

前述したように、このライブラリのサービスは依存関係として PSR-3 互換ロガーを想定しています。これは、次の 3 つのレベルのイベントをログに記録するために使用されます。

LogLevel::INFO

このログレベルは、アプリケーションを意図した方法で使用するときにユーザーが実行する通常の操作を追跡するために使用されます。

  • 登録が成功しました
  • パスワードの回復に成功しました
  • ログイン成功 (電子メール/ユーザー名または Cookie を使用) またはログアウト
  • メール認証が成功した
  • 期限切れの Cookie または nonce の使用

LogLevel::NOTICE

ユーザーが失敗した操作を試行した場合、このレベルのログが記録されますが、これは正しい使用シナリオでは起こらないはずです。

  • すべての場合、身元が見つからなかった場合
  • 間違ったパスワードが入力されました
  • 識別子はすでに別の ID に使用されています
  • 未確認の電子メールを使用してパスワードを回復しようとします

LogLevel::WARNING

ユーザーが侵害された Cookie を使用しようとした場合のログ記録にのみ使用されます。

追加の注意事項

このライブラリは、1 つの特定のタスクに焦点を当てています。次の機能はいずれも含まれていません

  • アカウントの作成と管理
  • 認可システム
  • ユーザー入力の検証 (電子メールとパスワードを含む)
  • ロギングフレームワーク

その認証ライブラリには上記のパーツのいずれかが必要であると思われる場合、これはあなたが探しているライブラリではありません。

拡大する
追加情報
関連アプリ
おすすめ
関連情報 すべて