ほとんどのWebアプリケーションにはログイン機能が備わっています。しかし、多く存在しているからといってプログラマであれば誰でも簡単に作れるわけではありません。適切なログイン処理を行う際に気をつけなければいけないポイントがいくつかあります。この記事では
レベルごとに手描きの図を載せながら丁寧に解説しています。
本記事は「ログイン後の遷移先」について中心に書いています。ログイン後TOPページに遷移する実装をする人が多く、TOPページの処理にログイン処理を組み込んでしまうことがあるようです。これではユーザが当初求めていたページに行けないなどの問題があるため、ログイン処理を独立したコントローラで行い、リダイレクトを利用し遷移先のページをパラメータで指定することでログイン後のページを自由に制御できるようにします。ただ、このままだと遷移先のページを自由に指定できてしまいフィッシングの恐れがあるため、ちゃんとサーバ側でチェックする必要があります。
記事の最後には、ログイン後のページを自由に遷移できた場合どうすればフィッシングが可能なのかをわかりやすく説明し注意を促しています。より具体的な事例として、セキュリティ分野に詳しい高木浩光氏のブログ記事「ログイン成功時のリダイレクト先として任意サイトの指定が可能であってはいけない」を紹介しています。
URL:http://en.yummy.stripper.jp/?eid=987602