トップページ | 利用規定
  会員制携帯サイト簡単ログイン

カレッヂ
カレッヂ


このソフトの特徴

◇ 会員制携帯サイトにおいて、パスワードの入力を省略できる仕組みのご案内です。
◇ 各会員専用のアドレスと、携帯電話から送信される固有の情報を照合し、本人の携帯であることを確認してログインする仕組みです。
◇ 携帯電話によっては利用できない場合があります。
◇ プログラムはCHTML(iMODE用)で作成されていますが、J-SKY(Vodafone)やau(ezWEB)でも多くは利用できると思います。

ダウンロード

- KantanLogin_1.00.zip (伸張&展開の仕方)

- このシステムはフリーソフトですが、利用規定に従ってご利用ください。

解説

  • このプログラムはサンプル集であり、携帯電話の固体識別を利用したパスワード省略したログイン方法の一例を紹介するものです。 ついでに、セッションログイン維持管理の方法も紹介しています。

  • ユーザ名(ID)とパスワードを利用したログイン方法に加え、携帯電話から取得できる固有の情報をそのユーザ名と共に記録しておくことにより、 次回以降ログインする場合に、既に記録してある固体識別情報と照合して、同じ携帯からアクセスしていることを確認することでパスワード入力を省略する(以降、簡単ログインと称す)ものです。

  • 従って、最初の1回はユーザ名(ID)とパスワードを利用してアクセスした後に、簡単ログインを利用するかどうかを利用者に判断してもらい (共同利用しているような携帯では他人にアクセスされてしまう可能性があるため)、固体識別情報を取得して記録します。

  • さらにセキュリティを向上させるため、ユーザ名(ID)毎に専用のログインアドレス(キー)を生成します。 そのキーはWebから携帯電話に送信するため、他人の携帯にそのキーが渡ることはなくなります。 キーはランダムに生成された文字列なので、推測することは非常に難しい(実用上問題ない程)です。 なお、携帯からのアクセスをより便利にするための仕組みなので、携帯からパスワードを入力するのは面倒なため、携帯にアドレスを送信するときに、 携帯用に使う暗証番号(数字)を設定しておくようにします。

  • キーは初めてのアドレス送信時に新規に生成されますが、このプログラムではその情報は固定されますので、専用のアクセスアドレスは変わりません。 パスワード(平文:暗号化する前の文字列)はどこにも記録しませんので、パスワード照会の機能はありません。管理者でも分かりませんので、 暗証番号を忘れた場合は、再度携帯にアドレス送信します。前の情報に上書きされますので、暗証番号を変更する場合にも活用できます。 専用のアクセスアドレスもこの送信毎に変更するように改造すれば、さらにセキュリティは向上するでしょう。

  • ログイン処理に使うパスワードファイルの形式は、ベーシック認証用の、いわゆるUNIX形式のパスワードファイルを活用できるようにしています。 あらかじめ、ユーザ名:パスワード(暗号済) 形式のファイルがあることを前提としています。別途ご用意ください。

  • この認証(ログイン処理)と、下に解説するセッション管理(ログイン後)の2つの段階に分かれています。 もし利用されるサーバでSSLが使える場合は、 ログイン処理部分をたとえばSSL対応にし、セッション管理後は非SSLで通信するという方法もよく見かけるセキィリティ向上になる方法です。

  • このサンプルプログラムでは、ベーシック認証のように、 認証後に毎回確実に自動認証(最初の1回ユーザ名とパスワード入力し、その後はブラウザが自動でアクセス毎に認証している)をさせるものではなく、 認証時にセッションファイル(ログインした証)を生成し、そのファイルをアクセス毎に更新するようにして、一定時間そのファイルが更新されない場合は削除し、 ログインセッションを終了させるという方法を紹介したものとなっています。

  • セッションファイルは一時的に生成されるランダムな文字列であり、その時のログイン1回限りのパスワードを発行するようなことと同じような意味を持つセッション管理手法です。 ログイン(認証)後はこのセッションファイルを毎回確認することにより、認証者であることを確認するものです。 携帯サイトのメニューから同サイト内の別のページにリンクする際に、このセッション情報を付加することにより、 アクセス先のページでこのセッション情報がサーバ上にもあるかどうかをチェックして、ログイン状態を維持するものです。

  • 設置構成の例は次の通りです。

    |--/keys/ <777> ... ID毎の専用キーを格納するフォルダ
|--/session/ <777> ... ログインセッションを管理するフォルダ(※)
|
|--cert.cgi  <755> ... 認証プログラム(ログイン処理)携帯からアクセス
|--get.cgi  <755> ... 携帯に専用アドレスを送信するプログラム(Webから利用)
|--menu.cgi  <755> ... ログイン後に表示されるメニュー画面
|--page1.cgi  <755> ... メニューからサイト内の別ページの作成例
|--password.cgi  <666> ... パスワードを記録したファイル
    < >内はパーミッションの相当値です。ご利用のサーバの実情に合わせて設定してください。

  • 処理の流れとしては、Webから「get.cgi」にアクセスして携帯にアドレスを送る → 携帯に届いたアドレスにアクセスして認証「cert.cgi」 → ログイン後のメインメニュー「menu.cgi」→ 簡単ログインするための設定「cert.cgi」→ メニューに戻る「menu.cgi」→ メニューから枝分かれする例「page1.cgi」 のようになります。get.cgi以外は、携帯かPCからかを検知して、PCからはアクセスできないように処理を加えるのもセキュリティ向上に有効だと思います。

動作サンプル

動作サンプル

※ 下記いずれかのIDでサンプルご利用ください。本来はひとりひとりIDを持つわけですが、サンプルのためそれが出来ません。 以下の注意書きをお読みになった上で、うまくご利用ください。

※ 暗証番号の設定は各ユーザID毎に携帯情報を記録するため、サンプル上で設定しても、 実際に携帯上からログインする前に、別の方が同じIDを使って登録して携帯に送信してしまうと 情報が書き換わってしまってログインできないことになります。うまくタイミングを変えて試してください。

※ 簡単ログインの設定は各ユーザID毎に携帯情報を記録するため、サンプル上で設定しても、 簡単ログインのテストする前に、別の方で同じIDでログインしている方が簡単ログイン利用設定をしてしまうと、 携帯情報が書き換わってしまってテストできないことになります。うまくタイミングを変えて試してください。 

ユーザID:rescue  パスワード:123456
ユーザID:rescue1 パスワード:123456
ユーザID:rescue2 パスワード:123456
ユーザID:rescue3 パスワード:123456
ユーザID:rescue4 パスワード:123456
ユーザID:rescue5 パスワード:123456
ユーザID:rescue6 パスワード:123456
ユーザID:rescue7 パスワード:123456
ユーザID:rescue8 パスワード:123456
ユーザID:rescue9 パスワード:123456
お試し方法

  1. 「携帯アドレスの取得」より、暗証番号を決めて携帯に送信します。
  2. 届いたアドレスにアクセスします。ブックマークする場合はこのページです。
  3. 暗証番号でログインします。
  4. 簡単ログイン設定 → 利用する、設定をします。
  5. 届いたメールに戻るか、ブックマークした入り口のページに再度アクセスし、簡単ログインを試します。


参考文献

Powered by CGI RESCUE(R)