Yuriko.Net 個別記事

かんたんログイン機能をどう実装するか

いよいよ、以前予告した Ktai Style の機能追加案を実現すべく実装を始めています。そのうち、「かんたんログイン機能」の実装方法に悩んでいます。2案あるのですが、どちらも甲乙付け難いのです。

1つめは、WordPress のブックマークレットと同様の実装方法です。これは、推測されにくいランダムな URL を発行し、それを端末にブックマークしてもらう方法です。この URL にアクセスすると、URL を発行したアカウントでログインできます。十分に複雑な URL にしておけば、ユーザー名・パスワードの入力をすることなくログイン状態になっても安全です (端末を紛失したときのリスクは別問題)。

この方法の欠点は、端末のブックマークからしかログインできないことです。つまり、コメント投稿の通知メールにある URL にアクセスしてのログインや、コメント投稿画面からのログインには対応できないのです。

もう1つの方法は、端末識別情報と単純なパスワードを併用する方法です。あらかじめ端末識別情報および単純なパスワードを登録しておけば、ログインフォームで単純なパスワードだけでログインできます。この方法ならば、コメント通知メールやコメント投稿フォームからのログインにも対応できます。

しかし、端末識別情報は一部の端末しか対応していないし (SoftBank 4-3 シリーズや WILLCOM、スマートフォン等は未対応)、ドコモの場合は送信するかの確認ダイアログが出るのがうっとおしいです。

余談ですが、端末識別情報 *だけ* 使うのは危険すぎます (さりげなく某サービスを批判 ;-)。端末識別情報は悪意ある他人でも取得可能ですから、その悪意ある人が詐称して自分の WordPress ウェブログにログインを試みる可能性があるからです。アクセス元 IP アドレスが携帯電話ネットワークのものであるか確認すれば比較的安全ですが、完全ではなさそうです (詐称ユーザーエージェントを送出する携帯アプリを作ればいい??)。

2つの手法両方を実装するのは嫌なのでどちらかに決めたいのですが、悩ましい問題です。作りやすさでは後者なのですが、安全性および利用可能な端末の多さでは前者です。うーん。どうしましょう。