セッション認証は、PHPの $_SESSION を用いる認証方式。ログイン認証に成功しセッションIDがセットされたユーザーのブラウザからのみしかアクセスできず、セッション変数はサーバー上に保存され、ログイン認証されたユーザーでもセッション変数を変えることができないため安全とされている。
HTTPS 必須。ログインとログアウトの両方でCSRF対策。一度ログインした後は負荷が軽くなる。
/functions.php
<?php
/**
* ログイン状態によってリダイレクトを行うsession_startのラッパー関数
* 初回時または失敗時にはヘッダを送信してexitする
*/
function require_unlogined_session()
{
// セッション開始
@session_start();
// ログインしていれば / に遷移
if (isset($_SESSION['username'])) {
header('Location: /');
exit;
}
}
function require_logined_session()
{
// セッション開始
@session_start();
// ログインしていなければ /login.php に遷移
if (!isset($_SESSION['username'])) {
header('Location: /login.php');
exit;
}
}
/**
* CSRFトークンの生成
*
* @return string トークン
*/
function generate_token()
{
// セッションIDからハッシュを生成
return hash('sha256', session_id());
}
/**
* CSRFトークンの検証
*
* @param string $token
* @return bool 検証結果
*/
function validate_token($token)
{
// 送信されてきた$tokenがこちらで生成したハッシュと一致するか検証
return $token === generate_token();
}
/**
* htmlspecialcharsのラッパー関数
*
* @param string $str
* @return string
*/
function h($str)
{
return htmlspecialchars($str, ENT_QUOTES, 'UTF-8');
}
/login.php
<?php
require_once __DIR__ . '/functions.php';
require_unlogined_session();
// 事前に生成したユーザごとのパスワードハッシュの配列
$hashes = [
'ユーザ名' => '$2y$10$TThG3fsMJegLJHzVQbz8IeHhvpgBg7P5j6gjQWEUOrKKCtsA9L87G',
];
// ユーザから受け取ったユーザ名とパスワード
$username = filter_input(INPUT_POST, 'username');
$password = filter_input(INPUT_POST, 'password');
// POSTメソッドのときのみ実行
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
if (
validate_token(filter_input(INPUT_POST, 'token')) &&
password_verify(
$password,
isset($hashes[$username])
? $hashes[$username]
: '$2y$10$abcdefghijklmnopqrstuv' // ユーザ名が存在しないときだけ極端に速くなるのを防ぐ
)
) {
// 認証が成功したとき
// セッションIDの追跡を防ぐ
session_regenerate_id(true);
// ユーザ名をセット
$_SESSION['username'] = $username;
// ログイン完了後に / に遷移
header('Location: /');
exit;
}
// 認証が失敗したとき
// 「403 Forbidden」
http_response_code(403);
}
header('Content-Type: text/html; charset=UTF-8');
?>
<!DOCTYPE html>
<title>ログインページ</title>
<h1>ログインしてください</h1>
<form method="post" action="">
ユーザ名: <input type="text" name="username" value="">
パスワード: <input type="password" name="password" value="">
<input type="hidden" name="token" value="<?=h(generate_token())?>">
<input type="submit" value="ログイン">
</form>
<?php if (http_response_code() === 403): ?>
<p style="color: red;">ユーザ名またはパスワードが違います</p>
<?php endif; ?>
/index.php
<?php
require_once __DIR__ . '/functions.php';
require_logined_session();
header('Content-Type: text/html; charset=UTF-8');
?>
<!DOCTYPE html>
<title>会員限定ページ</title>
<h1>ようこそ,<?=h($_SESSION['username'])?>さん</h1>
<a href="/logout.php?token=<?=h(generate_token())?>">ログアウト</a>