Friction River Software - CakePHP5入門【CakePHP5認証編③】ログインステータス

Ａ子

各ユーザのログイン状況を確認できるようにするため、データベーステーブルを変更しよう
（つまり、「users」テーブルに項目を追加するよ）

Ｃ菜

前回、Ｂ美部長がおっしゃったように「status」という項目を追加するんですか～？

Ａ子

うん、それで良いよ
（名前を考えるのが面倒くさい）

Ｂ美

だったらついでにもう一つ、文字列（varchar）型の項目を追加しておきなさい

項目名は「session」で…

Ａ子

ん？
セッション？

そこには何を格納するのさ？

Ｃ菜

そもそもの話ですけど～

「セッション」の仕組みって、どうなってるんですか～？

Ｂ美

手順としてはこうなるわ

１．ブラウザがWebサーバにアクセス
２．Webサーバは重複しない「セッションID」を作成し、ブラウザへ送信
３．ブラウザはその「セッションID」をCookieクッキーとして保存
４．同じWebサーバの別ページへアクセスする際、そのCookieクッキーをWebサーバへ自動送信
５．Webサーバは「セッションID」を照合して、さっきと同じユーザであることを認識
６．無操作の状態が一定時間続くと、Webサーバは「セッションID」を無効化する（これが「セッションタイムアウト」）
７．操作している限り、「セッションID」は無効化されない

Ａ子

くっきー…って何だっけ？

よく聞く言葉だけど、あまり分かってないんだよね（苦笑）

Ｃ菜

Webサーバ側で作ったデータをブラウザ側に持たせておく仕組みですよ～

あるWebサーバから受け取ったCookieクッキーは、再び同じWebサーバにアクセスするときに自動送信されるって仕組みのはずです～

Ａ子

なるほどねぇ

それによって、Webサーバは「アクセス元が同じユーザかどうか」を見極めることができるってわけか…

Ｂ美

そういうことよ
一つ付け加えておくなら「Sessionセッションはサーバ側に、Cookieクッキーはクライアント側に保存される」…ってことね

んで、Webサーバはファイル名として「セッションID」の付いたものを保存してるんだけど、タイムアウトしたらそのファイルは削除されるの

Ｃ菜

あっ！

でしたら、そのファイルがあるか否かを「file_exists」関数で調べることで、「セッションタイムアウト」になっているかを判別することができますね～

Ｂ美

ご名答！

だから、データベーステーブル内に現在の「セッションID」を格納しておきたいのよ

Ａ子

「セッションID」って簡単に取得できるの？

Ｂ美

もちろん！

「session_id」という関数を呼び出すだけよ
（これは普通にPHPの関数です）

まぁ、CakePHPで推奨される書き方としては、下記のようになるけどね

$this->request->getSession()->id()

ただ

session_id()

という、単なる関数呼出しを使っても全く問題ないわよ
（得られる結果は同じだし…）

Ａ子

ふむふむ
それじゃ、さっそくやっていこう

まずはデータベーステーブルを変更するよ

あ、でも「テーブル定義を一度削除してから、あらためて新規作成」するのではなく、「テーブル定義を修正」する形でやりたいんだよね
（すでにユーザ登録してるし…）

Ｂ美

だったら「ALTER TABLE」を使いなさい

ググれば簡単に調べられるから…

Ａ子

ちぇっ、面倒だけど検索するかぁ

・・・

うん、こんな感じかな

ALTER TABLE users
ADD status int AFTER password,
ADD session varchar(255) DEFAULT NULL AFTER status;

これで「password」と「created」の間に「status」と「session」が挿入されるはず…
（あ、三行で書いてるけど、これって一文だからね）

Ｃ菜

上記のコマンドを実行後にテーブル定義を確認してみました～

Ａ子

「src/Model/Entity」の中にある「User.php」と、「src/Model/Table」の中の「UsersTable.php」については、特に修正の必要は無さそうだね

Ｃ菜

ですね～

あ、でも一応キャッシュクリアだけは、やっておいたほうが良いかもです～

Ａ子

あ、そうだった

cd html/authapp[Enter]
bin/cake cache clear_all[Enter]

まぁ、あくまでも念のため…だけどね

Ｃ菜

「src/Controller」の中にある「UsersController.php」はどうします～？

「login」と「logout」メソッドのことですけど～

Ａ子

「login」メソッドには以下のコードを追加しよう

$user = $this->Authentication->getIdentity();
$loginUser = $this->Users->get($user->id);
$loginUser->status = 1; //ログイン
$loginUser->session = session_id();
$this->Users->save($loginUser);

次に「logout」メソッドの追加分はこうだね

$user = $this->Authentication->getIdentity();
$loginUser = $this->Users->get($user->id);
$loginUser->status = 0; //ログアウト
$loginUser->session = null;
$this->Users->save($loginUser);

ログインの有無を表す「status」の値は、ログイン状態が「1」で、ログアウト状態が「0」（または「null」）ってことにしよう

Ｂ美

うーん、惜しい！

良い線いってるんだけどねぇ

Ｃ菜

どこに問題があるのでしょうか～？

Ｂ美

「logout」メソッドはOK
問題は「login」メソッドのほうね

何が問題か…って、そのタイミングでは「セッションID」をきちんと取得できないのよ
（要するに、topページへリダイレクトしたあと「セッションID」を取得するように！…ってこと）

Ａ子

なるほど、なるほど
でも、そこまで分かれば何とかなるかな

「src/Controller」の中にある「TopController.php」を書き換えるよ
まずは「index」メソッドね
（そのユーザの「session」項目の値が「null」だったら、セッションIDを取得してデータベーステーブルを更新します）

public function index()
{
    $user = $this->Authentication->getIdentity();
    $loginUser = $this->Users->get($user->id);
    if (is_null($loginUser->session)) {
        // データベース上でログイン状態にする
        $loginUser->status = 1;    //ログイン
        $loginUser->session = session_id();
        $this->Users->save($loginUser);
    }
}

もちろん、「users」テーブルを使う準備も追加するよ

private $Users;

public function initialize(): void
{
parent::initialize();

$this->Users = $this->fetchTable('Users');
}

で、どうよ

Ａ子

あ、「UsersController.php」の「login」メソッドについては、元の状態に戻しておいたよ

Ｂ美

あ、ちょっと待って！

「session」の値をnullにすることだけは「login」メソッド内でやっておきなさい

Ｃ菜

なぜでしょうか～？

Ｂ美

ログイン後、ログアウトせずにブラウザを閉じて、そのあとすぐにブラウザを起動して「top」ページにアクセスした場合、どうなると思う？

Ａ子

ん？
ログイン状態のまま、topページが表示されるんじゃないの？

Ｂ美

違うわ

Ｃ菜

もう一度ログインページが表示されるんでしょうか～？

Ｂ美

そういうこと

そして「ブラウザ再起動を伴う再ログインを行った場合、セッションIDは再取得（つまり、さっきのとは異なる値）になる」のよ

Ａ子

あ、分かった！
さっきのコードだと、データベーステーブルの「session」項目の値が更新されないことになるね
（だって「session」項目の値がnullじゃないし…）

…ってことは、最初のコードから「status = 1;」の行を削除して、「session」には「null」を代入すれば良いのかぁ

Ｂ美

ふむ
まぁ、良いんじゃないかしら

とりあえずテストしてみなさいな

Ｃ菜

まずは、現状の「users」テーブルの中身です～

Ａ子

んじゃ、私のアカウント（ako@friction-river.jp）でログインして…っと

お、「users」テーブルの中身はこうなったよ
もっとも、セッションIDの値が正しいのかどうかは知らんけど（笑）

Ｃ菜

セッションファイルはどこに作られるんでしょうか～？

Ｂ美

「php.ini」を特に変更していなければ「/var/lib/php/sessions」ディレクトリの中よ

rootにsuしてから確かめてみなさい

Ａ子

えっとー

su -[Enter]
cd /var/lib/php/sessions[Enter]
ls -l[Enter]

で、どう？

Ｃ菜

さきほどのデータベース内の値と比べると、ファイル名は「sess_（セッションID）」ということでしょうか～？

Ｂ美

大正解！

で、このセッションファイルは、「ログアウト」または「セッションタイムアウト」で自動的に削除されるってわけ

Ａ子

やってみよう
まずは「ログアウト」して…っと

データベース内とセッションファイルを見てみると、こうなったよ

Ｃ菜

最初のセッションファイルについては消えましたけど、新たなファイルができてますね～

Ｂ美

これについては、無視しても構わないわ

ファイルサイズ（37バイト）でも分かる通り、意味のないファイルだから…

Ａ子

セッションタイムアウトのときも同じようになるの？

Ｂ美

そこはちょっと注意が必要なんだけど…

タイムアウトの場合、セッションファイルがすぐに削除されるわけではないの
一定時間ごとに「gc（ガーベージコレクション）」が働くんだけど、そのタイミングで削除されることになるのよ

Ａ子

が、がぁべぃじ？

また意味不明なことを…（苦笑）

Ｃ菜

もしもつづりが「garbage collection」ならば、直訳して「ゴミ収集」でしょうか～？

Ｂ美

さすがはＣ菜、その通りよ

余談だけど、カタカナ表記する場合、「ガーベージ」「ガベージ」「ガーベジ」の三通りを見かけるわ
（ネット上や書籍で…）

正しい英語の発音的には「ガーベージ」だけどね

Ａ子

で、それって何なのよ

「ゴミ収集」ってことは、不要なファイルを削除する仕組みってこと？

Ｂ美

その役割もあるんだけど、もともとの意味としては、コンピュータのメモリ内に存在する不要なオブジェクトを消去する仕組みね

メモリ内に動的に（プログラム実行中に）生み出された確保領域って、使い終わったら消していかないとメモリを圧迫することになるの
言い換えれば、消し忘れがあるとメモリの空き容量が減っていくのよ
（これを「メモリリーク」と呼びます）

ガーベージコレクションというのは、それ（不要なオブジェクトの消去）を自動的に行ってくれる仕組みってわけ
（ほとんどのオブジェクト指向言語には備わっている仕組みよ…いや、この仕組みを持たないプログラム言語もあるんだけど（苦笑））

Ａ子

ガーベージコレクションが働くタイミングは？

何分おきとか決まってるの？

Ｂ美

知らん！

気にしたことは無いし、気にする必要もないわ
（いつの間にか勝手に動いてる…って認識でOK）

なぜなら、OS（Debian）側でもcronによって無効なセッションファイルの削除を自動実行してるから（30分ごとに）
（gcよりはcronジョブで削除されることのほうが多いんじゃないかしら？）

Ａ子

なんだ

だったら安心だね

Ｂ美

それじゃ「セッションタイムアウト」した場合の「自動ログアウト」処理を考えるわよ

Commandクラスを作って、それをcronで定期的に（例えば、１時間に1回）実行することで、「status」が「1（ログイン）」だったレコードを「0（ログアウト）」に戻すようにね

Ｃ菜

「statusが1」であるレコードを検索して、その結果をループで回して、「セッションIDを”sess_”の後ろに付けたファイル」が存在するかをチェックするです～

もしもファイルが存在するのならば何もしないで～
ファイルが無かったら（「セッションタイムアウト」なので）「ログアウト」処理を行えば良いんじゃないでしょうか～？

Ａ子

んー？
あっ、そっか

それでうまくいきそうだね（多分）

Ｃ菜

それではさっそくコマンドクラスをbakeで作りましょう～

cd html/authapp[Enter]
bin/cake bake command cleanup[Enter]

名前は「cleanup」にしましたけど、良いですよね～？

Ａ子

んじゃ、「src/Command」の中に生成された「CleanupCommand.php」を書き換えていくかぁ

以前コマンドクラスを作ったときのコードをコピペして修正するよ
（【CakePHP5応用編⑫】を参照）

private $Users;

public function initialize(): void
{
parent::initialize();

$this->Users = $this->fetchTable('Users');
}

これで「users」テーブルを使う準備はOKね

Ｂ美

「execute」メソッドだけど、私のほうで作ってみたわ
（ちょっと難しいからね）

public function execute(Arguments $args, ConsoleIo $io)
{
    //処理がタイムアウトしないように
    set_time_limit(0);

    //ログイン中のユーザ一覧を取得
    $users = $this->Users->find()->where(['status' => 1]);

    //セッションファイルのディレクトリ
    $sessionPath = ini_get('session.save_path');

    foreach ($users as $user) {
        //セッションファイルの有無を調査
        $sessionFile = $sessionPath.'/sess_'.$user->session;
        $sessionFileExists = file_exists($sessionFile);

        //セッションファイルが存在しなければログアウト状態に変更
        if (!$sessionFileExists) {
            $this->Users->updateAll(
                ['status' => 0, 'session' => null],
                ['id' => $user->id]
            );
        }
    }

    return null;
}

Ａ子

「set_time_limit」とか「ini_get」とか「updateAll」って、初めて出てきたような？

それって何なのさ？

Ｂ美

そのくらい自分で調べなさいね

てか、それこそが経験値の獲得につながるんだから

Ａ子

うへぇ、分かったよ
（ググってみる）

「set_time_limit」は引数にゼロを渡すことで処理がタイムアウトしないようにするってやつだね
（言い換えれば、時間のかかる処理ってタイムアウトすることがあるみたい…）

「ini_get」は「php.ini」の設定値を取得する関数みたい
（「ini_get('session.save_path')」では「/var/lib/php/sessions」という文字列が得られる…ってことだね）

最後の「updateAll」はレコード更新を行うCakePHPのメソッドで、最初の引数が更新内容を記述した連想配列、次の引数が条件を記述した連想配列ってこと
（つまり、さっきのコードだと、このユーザの「status」と「session」を更新する…って意味））

Ｂ美

よくできました

まぁ、「set_time_limit(0)」は多分いらないんだけどね（苦笑）
（念のため…って感じ）

Ｃ菜

テストしてみるです～

まずはログインしてから30分くらい放置しますね～
（ちなみに、Ｂ美部長のアカウントです～）