RPとして動作するSKIPのコードを読む
OPとRPの実装を比べると、OpenIDを利用するだけのRPの方が比較的容易です。まずは、RPとして動作する場合のSKIPのソースコードを見ていきましょう。
RailsアプリケーションをRPにしたい場合、そのためのopen_id_authenticationというプラグインが存在しています。SKIPでもこのプラグインを採用しており、SKIPプロジェクト内のvender/plugins/open_id_authenticationというディレクトリ内に配置されています。このプラグインを活用したRPの実装を説明します。
実際に動いているSKIPの動作を基に説明をしていきます。SKIPをRPとして動作させている実例として、SKIPユーザグループ(SUG)のコミュニティサイトがあります。
関連リンク: | |
SKIPユーザグループ http://user.openskip.org/ |
SUGは、SKIPの利用者や開発者同士の情報交換をするためのSNS(SKIP)になっています。オープンソースなので当然ですが、どなたでも無料で登録して参加できますので、RPの動作を試せます(前回まで使ったSKIPデモサイトは、RPとしては動作していません)。
SUGへのログインまでの動作の流れを順に確認した上で、その流れをソースコードで見ていきます。今回は例として、SUGへのログインをするためにmixiをOpenIDの認証局として利用します。実際の動作の流れは以下のようになります。
- SUGにアクセスし、トップページにある「mixi IDでログイン」をクリックする
- mixiのログイン画面に遷移するので、ログインを行い、SUGへの認証情報の受け渡し許可を行います
- ログインが成功するとSUGでは認証済みの状態になり、プロフィール登録やマイページが表示されます
SUG自体は認証情報を持ちませんが、mixiの認証処理でログインできるようになっています。この処理の流れをソースコードで追っていきましょう。
1つ目の「mixi IDでログイン」のリンクは、以下のURLになっています。
このURLが、OpenIDでの認証の出発点になります。このURLにアクセスした際に実行されるソースコードは以下のメソッドです。
45 |
def login |
46行目のusing_open_id?メソッドは、open_id_authenticationプラグインが提供しているメソッドで、OpenID関連のパラメータが正しいものかどうかを確認します。今回は、パラメータにopened_urlを含んでいるので、このusing_open_id?メソッドはtrueを返します。
次に、47行目でlogin_with_open_idメソッドを呼び出しているので、そちらを見てみましょう。
215 |
def login_with_open_id |
login_with_open_idメソッドのポイントは、218行目のauthenticate_with_open_idです。このメソッドも、open_id_authenticationプラグインで提供されているものです。
OpenID認証を開始する場合、このメソッドの中ではパラメータのopened_urlの情報を使って、指定されたOP(ここではmixi)にリダイレクト処理を行い、OpenID認証の処理が開始されます。ここまででSKIP側の処理は一時中断されて、OPでの認証を待ちます。
2つ目の処理は、mixi側での処理になります。OpenID Providerの仕様に則って実装されているので、Yahoo!などほかのOPを使った場合も外から見た動きは同じになります。mixiでのログイン処理が正常に終了すると、SUGにリダイレクトされます。
3つ目の処理は、mixiからリダイレクトされたSUG側の処理になります。SUGの戻り先のURLは、先ほどと同じhttp://user.openskip.org/loginですが、OPであるmixiからの適切な認証情報がパラメータとして付与されています。
再び、loginメソッド内のusing_open_id?で判定を行い、正しいOPからの戻りであることを確認した後、改めてlogin_with_open_idが呼ばれます。1つ目の処理のときとは違い、OPからの適切なパラメータが付与されていることをauthenticate_with_open_idが確認できれば、続く220行目から234行目の実行に移ります。
この後は、Webアプリケーション独自の処理になります。SKIPの場合は、利用開始済みのユーザーか未開始ユーザーかで判別して(222行目)、その後の処理を振り分けています。
これが、RPとして動作するためのソースコードの流れになります。open_id_authenticationプラグインを使うことで、OPとRPとの鍵共有のやりとりなどの複雑な部分はかなり隠蔽された状態でRPを実装できることが分かると思います。
SKIPにおけるRPの活用シーンと独自の拡張
SUGでのRPの使い方は非常にポピュラーなものなので、一般的なWebアプリケーションであれば、そのまま応用して使うことができると思います。
社内SNSであるSKIPのRPとしての主な利用シーンは、すでにある社内の社員情報を活用したい場合です。
例えば、社員情報がLDAPでアクセスできるようになっているとしたら、SKIPを導入する際に新たにユーザー情報を登録し直すのは手間ですし、ユーザーにとってもパスワードが変わってしまうと不便です。
このような場合に、社員情報にアクセスできる独自のOpenID Provider相当のアプリケーションを用意することで、SKIP側で認証情報を管理しなくて済むようになります。
このような用途の場合、認証を許可するOPは固定されなければなりません。SKIPでは、SUGのようにどのOPでも許可するモードと、指定のOPでの認証だけを許可するモードが選べるような独自拡張をしています。
指定OPだけにした場合、SKIPの利用者はOPを選択する必要がなくなりますので、擬似的にシングルサインオンのような形を実現できます。このことは、必ずしもOpenIDのような認証の仕組みに慣れていないユーザーの多い社内利用でのメリットになります。
擬似的なシングルサインオンを実現するために独自に拡張している部分のソースコードは以下になります。
34 |
before_filter :sso, :login_required, :prepare_session |
このようにApplicationControllerで、ほぼすべての処理のbefore_filterで指定したSSOメソッドで、固定OPでのログイン処理にリダイレクトする(317行目)ことで、ユーザーにOPのURLを入力させる必要なく固定のOPへのログイン処理を開始するという仕組みになっています。
2/3 |
Index | |
OpenIDを実装したソースコードを読もう | |
Page1 OpenIDでWebの認証を便利に実現 OpenIDについて SKIPバージョン1.1リリースしました! |
|
Page2 RPとして動作するSKIPのコードを読む SKIPにおけるRPの活用シーンと独自の拡張 |
|
Page3 OPとして動作するSKIPのコードを読む |
Railsコードリーディング 〜scaffoldのその先へ〜 |
Ruby/Rails関連記事 |
プログラミングは人生だ まつもと ゆきひろのコーディング天国 ときにプログラミングはスポーツであり、ときにプログラミングは創造である。楽しいプログラミングは人生をより実りあるものにしてくれる |
|
生産性を向上させるRuby向け統合開発環境カタログ Ruby on Rails 2.0も強力サポート 生産性が高いと評判のプログラミング言語「Ruby」。統合開発環境を整えることで、さらに効率的なプログラミングが可能になる |
|
かんたんAjax開発をするためのRailsの基礎知識 Ruby on RailsのRJSでかんたんAjax開発(前編) 実はAjaxアプリケーション開発はあなたが思うよりも簡単です。まずはRuby on Railsの基礎知識から学びましょう |
|
Praggerとnetpbmで作る画像→AA変換ツール Rubyを使って何か面白いものを作ってみよう! 一般的な画像をアスキーアートに変換するツールを作ってみる。さらに出力にバリエーションを持たせてみよう |
|
コードリーディングを始めよう Railsコードリーディング〜scaffoldのその先へ〜(1) 優れたプログラマはコードを書くのと同じくらい、読みこなす。優れたコードを読むことで自身のスキルも上達するのだ |
|
- プログラムの実行はどのようにして行われるのか、Linuxカーネルのコードから探る (2017/7/20)
C言語の「Hello World!」プログラムで使われる、「printf()」「main()」関数の中身を、デバッガによる解析と逆アセンブル、ソースコード読解などのさまざまな側面から探る連載。最終回は、Linuxカーネルの中では、プログラムの起動時にはどのような処理が行われているのかを探る - エンジニアならC言語プログラムの終わりに呼び出されるexit()の中身分かってますよね? (2017/7/13)
C言語の「Hello World!」プログラムで使われる、「printf()」「main()」関数の中身を、デバッガによる解析と逆アセンブル、ソースコード読解などのさまざまな側面から探る連載。今回は、プログラムの終わりに呼び出されるexit()の中身を探る - VBAにおけるFileDialog操作の基本&ドライブの空き容量、ファイルのサイズやタイムスタンプの取得方法 (2017/7/10)
指定したドライブの空き容量、ファイルのタイムスタンプや属性を取得する方法、FileDialog/エクスプローラー操作の基本を紹介します - さらば残業! 面倒くさいエクセル業務を楽にする「Excel VBA」とは (2017/7/6)
日頃発生する“面倒くさい業務”。簡単なプログラミングで効率化できる可能性がある。本稿では、業務で使うことが多い「Microsoft Excel」で使えるVBAを紹介する。※ショートカットキー、アクセスキーの解説あり
|
|