.. meta::
:keywords: web2py, framework, Access control, アクセス制御, 認証, OpenID
.. raw:: html
web2py version: 1.99.4
.. _ac_authentication_openid:
OpenID
======
OpenID を使った認証方式です。
.. note::
OpenID は一つのIDで、対応するWebサイトで共通して利用できるIDのことです。IDは URL や XRI 形式で記述します。
設定
----
OpenIDでは `python-openid `_ モジュールを使用します。
このため、事前にインストールしておくことが必要です。
pyton-openid のインストール方法
::
easy_install python-openid
もしくは ::
pip install python-openid
| 設定前に :ref:`ac_setup` を完了しておく必要があります。また :ref:`ac_methods_variance` も参照下さい。
| モデル定義(db.pyなど)にて、 :attr:`~Auth.settings.login_form` に :class:`~openid_auth.OpenIDAuth` インスタンスを設定します。
設定例 ::
from gluon.contrib.login_methods.openid_auth import OpenIDAuth
auth.settings.login_form = OpenIDAuth(auth)
:class:`~openid_auth.OpenIDAuth` コンストラクタのパラメータには、 Auth インスタンスを指定する必要があります。
OpenIDモジュールは、Google AppEngine(GAE)でも動作可能です。設定は次のページを参照してください。
.. toctree::
openid_gae
認証用クラス
------------
このクラスのコンストラクタのパラメータについて説明します。
.. module:: openid_auth
.. class:: OpenIDAuth(auth)
auth
:class:`~tools.Auth` インスタンスを指定します。
使用例
------
OpenID は他の認証方式と比べて複雑な動きをします。このためまず、基本的な設定でのシステム動作の説明をします。
基本的なシステム動作
^^^^^^^^^^^^^^^^^^^^
::
from gluon.contrib.login_methods.openid_auth import OpenIDAuth
auth.settings.login_form = OpenIDAuth(auth)
この設定の場合のシステム動作は次のようになります。
.. include:: openid_diagram.html
.. [#f1] OpenIDを入力し、サインインします。
.. [#f2] * 入力した OpenIDのプロバイダ認証画面に遷移しますので、ログインします。
* ログインした OpenID は alt_logins テーブルに自動保存されます。
.. [#f3] * auth_user テーブルのユーザIDと OpenID の紐付けを行う必要があります。
* Form認証で紐付けしたいユーザIDを使ってログインすることにより、紐付けが完了します。
* 既に紐付いているユーザIDを使用した場合は、紐付けが失敗します。
* 紐付けしたいユーザが存在しない場合、ユーザ登録で新しいユーザを登録します。
.. [#f4] 紐付けが完了し、OpenID を使用しシステムにアクセスできるようになりました。
.. [#f5] 新規のユーザを登録します。
.. [#f6] ユーザ登録するとシステムにログインしますが、まだ OpenID との紐付けが終わっていません。
ログアウトしてから OpenIDを使ったサインインを行い、紐付けの処理をします。
OpenIDと通常のユーザIDとの、紐付け処理を行う必要があります。このため他の認証方式と比べても、複雑にシステムが動作します。
なお、OpenIDのサインイン画面イメージは次のようになります。
.. image:: ../../../images/web2py_ac/web2py_ac_012r.JPG
:width: 90%
:scale: 100%
:class: img-border
alt_logins テーブルについて
^^^^^^^^^^^^^^^^^^^^^^^^^^^
OpenID を認証に使用すると、alt_logins テーブルが自動作成されます。 ::
db.define_table('alt_logins',
Field('username', length=512, default=''),
Field('type', length =128, default='openid', readable=False),
Field('user', self.table_user, readable=False))
サインインした OpenID は alt_logins テーブルの username フィールドに格納されます。
user フィールドは auth_user テーブルの id が設定されます。これによって auth_userテーブルとの紐付けが設定されます。
auth_userテーブルとの紐付けが行われると、次回 OpenID でログインした時に auth_user の該当するIDの
パスワードフィールドに null値が設定されます。これによって Form認証画面からのログインは不可能になります。
ユーザプロファイル のカスタマイズ
^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^^
:ref:`ac_user_profile` 画面を OpenID 用にカスタマイズすることが可能です。
これは OpenID 情報を表示・修正する追加機能です。
:ref:`ac_setup` で触れた、user関数を次のようにカスタマイズします。
修正前の user関数 ::
def user():
return dict(form=auth())
カスタマイズした user関数 ::
def user():
if (request.args and request.args(0) == "profile"):
form = DIV(auth(), auth.settings.login_form.list_user_openids())
return dict(form=form)
return dict(form=auth())
カスタマイズ後のプロファイル画面は次のようになります。
.. image:: ../../../images/web2py_ac/web2py_ac_021r.JPG
:width: 90%
:scale: 100%
:class: img-border
この画面から OpenIDの紐付けを管理することが可能になります。
もし拡張ログインフォームを使用している場合、上のカスタマイズコードではエラーになります。拡張ログインフォームでは
alt_login_form 属性に指定することが必要だからです。このため拡張ログインフォームにも対応した、
修正したカスタマイズコードを次に示します。 ::
def user():
if (request.args and request.args(0) == "profile"):
if isinstance(auth.settings.login_form, ExtendedLoginForm):
ext_form = auth.settings.login_form.alt_login_form
else:
ext_form = auth.settings.login_form
form = DIV(auth(), ext_form.list_user_openids())
return dict(form=form)
OpenID 機能のカスタマイズ
^^^^^^^^^^^^^^^^^^^^^^^^^
OpenID 機能のカスタマイズについて考えてみます。現状の機能で不満な点は、次の2点ではないでしょうか。
#. 最初のサインインの後に紐付けのため、Form認証でログインする必要がある。
このため操作が難しく、特にエンドユーザ向きではない。
#. 簡単な操作で認証できる OpenID Authentication 2.0 の OP Identifier を使用したい。
これらの不満点について、カスタマイズでの対応を行なってみます。
#. 紐付け処理の回避
1番目の問題は紐付けが無い OpenID に対して、ユーザを自動生成するという方法が考えられます。
次のような関数を作成します。 ::
def _set_auth_user(self, db, oid, type_='openid'):
'''
Return to a alt_login id. Register to the user/group/membership tables.
'''
query = ((self.table_alt_logins.username == oid) & \
(self.table_alt_logins.type == type_))
alt_login = db(query).select().first()
if not alt_login:
import uuid
# add to the user table
if self.auth.settings.login_userfield:
userfield = self.auth.settings.login_userfield
elif 'username' in self.auth.settings.table_user:
userfield = 'username'
else:
userfield = 'email'
uname = 'anonymity_%s' % uuid.uuid4()
uname = uname.replace('-','')
user_row = self.auth.get_or_create_user({userfield:uname})
# add to the alt_logins table
alt_id = self.table_alt_logins.insert(username=oid, type=type_, user=user_row.id)
alt_login = self.table_alt_logins(alt_id)
return alt_login
この関数は登録した OpenID が存在しない場合、 auth_user と alt_logins テーブルにユーザを登録します。
また auth_userテーブルに登録するユーザのIDは、anoymity と UUID を組み合わせてユニークにするようにします。
関数は、default.py もしくは モジュールに追加します。
次に user関数( :ref:`ac_setup` )を次のようにカスタマイズします。 ::
def user():
if (request.args and request.args(0) == "login"):
OpenIDAuth._find_matched_openid = set_auth_user
return dict(form=auth())
これは :class:`~openid_auth.OpenIDAuth` クラスにある _find_matched_openid メソッドを上書きしています。
これによって OpenID によるサインイン時に、 _set_auth_user 関数が動くようになります。
#. OP Identifier を使用した認証
OpenIDを入力するのではなく、設定したプロバイダのアイコンをクリックすするだけで認証画面に遷移する方式です。
Python-OpenID は OP Identifier に対応していますので、次のようにカスタマイズすれば使用可能です。 ::
def _provider_form(self, prv_formname, prv_url, prv_image):
'''
Render the provider form.
'''
def warning_openid_fail(session):
session.warning = messages.openid_fail_discover
form = FORM(INPUT(_type='image', _name='oid', _value=prv_url,
_src=prv_image), _action=self.login_url)
if form.accepts(request.vars, session, formname=prv_formname):
oid = request.vars.oid
consumerhelper = self._init_consumerhelper()
url = self.login_url
return_to_url = self.return_to_url
try:
if request.vars.has_key('_next'):
return_to_url = self.return_to_url + '?_next=' + request.vars._next
url = consumerhelper.begin(oid, self.realm, return_to_url)
except DiscoveryFailure:
warning_openid_fail(session)
redirect(url)
return form
def _openid_form(self, style=None):
'''
Assemble the openid login form
'''
yahooj = self._provider_form('yahooj', 'yahoo.co.jp',
'http://i.yimg.jp/images/login/btn/btnXSLogin.gif')
mixi = self._provider_form('mixi', 'mixi.jp',
URL('static','images/mixi.gif'))
google= self._provider_form('google', 'https://www.google.com/accounts/o8/id',
'http://www.google.com/images/logos/google_logo.gif')
openid = self._login_form(style)
form = TABLE(TR(TD(yahooj), (TD(mixi)), TD(google)))
form = DIV(TR(form), TR(openid))
return form
関数が2つありますが、_openid_form の方はプロバイダ毎のサインインフォームを生成します。 _provider_from は
フォーム生成とバリデータ処理を定義しています。
関数は、default.py もしくは モジュールに追加します。
次に user関数( :ref:`ac_setup` )を次のようにカスタマイズします。 ::
def user():
if (request.args and request.args(0) == "login"):
OpenIDAuth._form = _openid_form
OpenIDAuth._provider_form = _provider_form
return dict(form=auth())
:class:`~openid_auth.OpenIDAuth` クラスにある _form メソッドを _provider_form に置き換えると共に、
クラスに _provider_form 関数を追加しています。
最後にカスタマイズした認証画面を示します。
.. image:: ../../../images/web2py_ac/web2py_ac_022r.JPG
:width: 90%
:scale: 100%
:class: img-border
これらのカスタマイズは、クラスの内部メソッドを上書きしています。このため将来、バージョンアップ等で不具合が出る
可能性があります。