CakePHP OAuthで注意

CakePHPのAuth/Securityコンポーネントは、できの悪いところも多いですが、簡単なのでとりあえず使うのに便利です。

しかし、最近はやりのOAuthを使う場合、core.php で Security.level が middle 以上に設定されていると、コールバック後にエラーになってしまうことがあります。

middle 以上では、セッションのリファラーチェックが働くため、コールバック時にリファラーが違うためにセッションが切れてしまうようですね。
通常、セッションにキーを保存しておくと思うので、これでは困ります。

色々解決方法がありますが、簡単なのは、

Configure::write('Security.level', 'low');

です。

もちろん、これではセキュリティが下がるという懸念もありますが、
むしろhighに設定して内部でどんなセキュリティ対策をしているか理解しない方が遙かに危険です。

lowに設定することで、セッション時間が延び、リファラチェックやフォームのハッシュ整合性チェックなどが無視されますが、それらを理解した上で、必要に応じてこれらを自前で対策した方が、トータルで手間と安全性が優れるケースもありそうです。

デザインも頼めるシステム開発会社をお探しならBPS株式会社までどうぞ 開発エンジニア積極採用中です! Ruby on Rails の開発なら実績豊富なBPS

この記事の著者

baba

ゆとりプログラマー。 高校時代から趣味でプログラミングを初め、そのままコードを書き続けて現在に至る。慶應義塾大学環境情報学部(SFC)卒業。BPS設立初期に在学中から参加している最古参メンバーの一人。Ruby on Rails、PHP、Androidアプリ、Windows/Macアプリ、超縦書の開発などを気まぐれにやる。軽度の資格マニアで、情報処理技術者試験(16区分17回 + 情報処理安全確保支援士試験)、技術士(情報工学部門)、Ruby Programmer Gold、AWSソリューションアーキテクト(アソシエイト)、日商簿記2級、漢検準1級などを保有。

babaの書いた記事

夏のTechRachoフェア2019

週刊Railsウォッチ

インフラ

ActiveSupport探訪シリーズ