メールアドレスの入力確認のための方法
2度入力させるUIって、ほんとダメですよね。
メールアドレスを入力してください。(*)
確認のため、再度メールアドレスを入力してください。(*)
(*)必須項目。しかもコピペできないw
んでも、入力ミスっていたら、その後メール来ないし。(笑)
これ、よく見かけますよねぇ。
昔はうちもやってましたが(笑)
認証キーを送信して、入力させる方法
そこで、30分とか1時間だけ有効な認証キーを送って、それを入力してもらうようにするといいんですね。
これも、よく見かけるようになりましたが(笑)
こんな画面です。
受信したメールに記載の認証キーを入力して、本来の登録処理にする。
こうすることで、メールが届かなかったら、入力ミスだとわかるし、メールが届けば間違いないメールアドレスだと判断できますね
認証キーは一定時間(たとえば30分)だけ有効で、それを過ぎると無効になります。
で、これをどのようにサーバー側で実装しようか、ということですよ。
HTMLページ上の Ajax を使った Javascript は以下のような感じになります。
// 認証キーを送信する処理
onButtonSendAuthKey = function()
{
// メールアドレスに認証コードを発行するサーバープログラム
var url = '/regist-temporary';
var params = {
mail: $('#input-mail').val()
};
$.post({
url: url,
data: params,
}).then(function(response){
// 略
});
}
// 入力されたメールアドレスと認証キーで登録する処理
onButtonEntry = function()
{
// メールアドレスを登録するサーバープログラム
var url = '/regist-user';
var params = {
mail: $('#input-mail').val(),
auth_key: $('#input-auth_key').val()
};
$.post({
url: url,
data: params,
}).then(function(response){
// 略
});
}
30分有効な認証キーをどう管理する?
ランダムな認証キーは乱数で構成すれば簡単にできますが、作成した認証キーをどのように管理するのか?
というのが今回のテーマです。
Session と Cookie を使って、ブラウザ側に記憶させる、という方法もあるでしょうけど、クライアント側に覚えさせるのは、ちょっと抵抗を感じてしまいます。
んでは、サーバー側で対応するとすると、どうすべきでしょう?
データベースに一時ユーザーテーブルを用意しておく、という方法が一般的のようです。
一定時間を経過したら、その情報を削除しなければならないわけで、それには cron でシェル作ってDBの作成時間を見て delete、と。
と考えるとですね、おっさんプログラマにはリソースの膨大な無駄遣いのように思えて仕方がないのですよ(笑)
サーバー側の認証キー送信処理(/regist-temporary)では以下の手続きが必要になります。
・認証キーを生成する。
・メールアドレスに認証キーを送信する。
・メールアドレスに対して発行した認証キーを記録する。
・30分経っても登録されない場合、認証キーを削除する。
サーバー側の登録処理(/regist-user)は以下の手続きが必要です。
・認証キーが無効になっていないかを判断する。
・メールアドレスと認証キーが一致するか判断する。
・本来の登録処理を行う。
という流れなんですが、リソースの使用を最小限に留めて、サクサク動くようにできないもんでしょうかね。
/dev/shm を使う!
そこで、思いついたのが、一般的な Linuxサーバに必ず用意されていて、あまり利用されている風ではない、/dev/shm (RAMディスク)を利用する方法です。
1.ユーザーごとに生成した認証キーを /dev/shm/サービス名/temp_auth/ ディレクトリに記録しておく。
2.登録時には、記録内容を照合する。
3.cron で記録ディレクトリの一定時間経過したファイルを削除する。
という方法ですね。
メールアドレスごとに認証キーを生成して、RAMディスクに記録する
// メールアドレスごとの認証キーを生成して、送信する処理
function send_auth_key($mail)
{
// ランダムな認証キーを生成
$auth_key = $this->create_auth_key();
$path = '/dev/shm/service/temp_auth';
$rc = mkdir($path, 0777, true);
if(!$rc)
{
//エラー処理
}
//メールアドレスを Base64(URL)エンコード
$mail_hash = $this->Base64UrlEncode($mail);
// 拡張子に .key を追加(なんとなくw)
$fname = $mail_hash . '.key';
$filename = "$path/$fname";
$rc = (0 < file_put_contents($filename, $auth_key));
if($rc)
{
$rc = chmod($filename, 0666);
if($rc)
{
// 認証キーをメールで送信(省略)
$rc = $this->send_auth_key($mail, $auth_key);
}
}
}
// ランダムな認証キー生成
function create_auth_key($column = 6)
{
$authKey = '';
$digits = '0123456789';
for ($i = 0; $i < $column; $i++) {
$authKey .= $digits[rand(0, strlen($digits) - 1)];
}
return $authKey;
}
// Base64URL encoder
function Base64UrlEncode($data) {
return rtrim(strtr(base64_encode($data), '+/', '-_'), '=');
}
// Base64URL decoder
function Base64UrlDecode($data) {
// = 埋めしなくてもいける
return base64_decode(str_pad(strtr($data, '-_', '+/'), strlen($data) % 4, '=', STR_PAD_RIGHT));
}
メールアドレスを BASE64エンコードするのは、メールアドレスの中にファイル名に使用できない文字が含まれるかもしれないのを避けるためですね。
BASE64で利用される +と/ の記号は -と_ に変換することで、ファイル名として機能するようにしています。
あと、chmod 0666 しておくのは、apache と cron でアクセスしてくるユーザーが異なるためです。
一時ファイルを一定時間後に削除する、のはcron で以下のように設定しました。(例は3分ごとに実行してるので、少しタイムラグあります)
#crontab で認証キーの制限時間超えたファイルを消す
*/3 * * * * find /dev/shm/service/temp_auth/ -name '*.key' -mmin +30 -delete > /dev/null 2>&1
実際に認証キーとメールアドレスが送られてきたときの処理コードを入れておきます。
function checkAuthKey($mail, $auth_key)
{
$rc = false;
$error_message = '認証キーが異なっているか、または期限が切れています';
$path = '/dev/shm/service/temp_auth';
$mail_hash = $this->Base64UrlEncode($mail);
$fname = $mail_hash . '.key';
$filename = "$path/$fname";
$saved_key = false;
if(file_exists($filename))
{
$saved_key = file_get_contents($filename);
}
if($saved_key)
{
$rc = (strcmp($auth_key, $saved_key) == 0);
}
return [$rc, $filename, $mail_hash, $error_message];
}
まとめ
今回はサーバー側で一時的な認証キーを生成してメールアドレスの確認と登録処理に至るプロセスで、Cookieやデータベースを使わない方法をまとめてみました
こういった需要って、よくあることだと思うので、参考にしてくださいまし。
実際、サクサク動いてくれるし間違いも起こりにくいので、安全に運用できています。
めでたしめでたし。
0 件のコメント:
コメントを投稿