YIIで認証と承認を実装するにはどうすればよいですか？-YII-php.cn

YIIで認証と承認を実装します

YIIは、認証と承認のための堅牢な組み込みメカニズムを提供します。最も一般的なアプローチはyii\web\Userコンポーネントとその関連RBAC（ロールベースのアクセス制御）システムを利用します。認証はユーザーの身元を検証し、認証はユーザーの実行が許可されているアクションを決定します。

認証： YIIの認証には、通常、データベースに対するユーザー資格情報の検証が含まれます。 yii\web\User ComponentのidentityClassプロパティを使用してこれを達成でき、 yii\web\IdentityInterfaceを実装するモデルを指します。このモデルでは、YIIが提供された資格情報（通常はユーザー名とパスワード）に基づいてユーザー情報を取得する方法を定義します。 findIdentity()メソッドは、IDに基づいてユーザーモデルを取得し、Tokenベースの認証にはfindIdentityByAccessToken()メソッドが使用されます。 validatePassword()メソッドは、保存されたハッシュに対して提供されたパスワードを検証します。

承認： YIIのRBACシステムを使用すると、役割を定義し、それらの役割に権限を割り当てることができます。これにより、ユーザーアクセスを詳細に制御できます。ロールを作成し、データベースに役割と許可情報を保存するyii\rbac\DbManagerコンポーネントを使用してアクセス許可を割り当てます。 yii\web\UserコンポーネントのcheckAccess()メソッドは、ユーザーが特定のアクションに必要なアクセス許可を持っている場合に検証します。コントローラーのアクセス制御フィルターを使用して、ユーザーの役割とアクセスに基づいて特定のアクションへのアクセスを制限できます。たとえば、アプリケーションの管理セクションへのアクセスを許可する前に、ユーザーが「管理者」の役割を持っているかどうかをフィルターが確認する場合があります。 YIIはまた、ルールベースの承認を提供し、単純な役割チェックを超えて、より複雑な承認ロジックを可能にします。

YIIアプリケーションを保護するためのベストプラクティス

YIIアプリケーションを保護するには、認証と承認だけを超える多面的なアプローチが含まれます。

入力検証と消毒：すべてのユーザー入力を常に検証し、消毒します。クライアント側から来るデータを決して信用しないでください。 YIIの入力検証機能を使用して、データが予想される形式と範囲に適合するようにします。データを消毒して、クロスサイトスクリプト（XSS）およびSQLインジェクション攻撃を防止します。
出力エンコード：ユーザーに表示する前に、すべてのデータをエンコードします。これにより、特殊文字をHTMLエンティティに変換することにより、XSS攻撃を防ぎます。 YIIは、データをエンコードするためのヘルパー関数を提供します。
定期的なセキュリティの更新： YIIフレームワークとそのすべての拡張機能を最新のセキュリティパッチで最新の状態に保ちます。定期的に脆弱性を確認し、修正を迅速に適用します。
強力なパスワード要件：強力なパスワードポリシーを実施し、ユーザーが特定の複雑さの基準（長さ、文字タイプなど）を満たすパスワードを作成することを要求します。堅牢なパスワードハッシュアルゴリズム（bcryptなど）を使用して、パスワードを安全に保存します。パスワードをプレーンテキストに保存しないでください。
HTTPS：常にHTTPSを使用して、クライアントとサーバー間の通信を暗号化します。これにより、盗聴から機密データが保護されます。
定期的なセキュリティ監査：潜在的な脆弱性を特定し、積極的に対処するために、アプリケーションの定期的なセキュリティ監査を実施します。潜在的な問題を見つけるのに役立つ静的分析ツールを使用することを検討してください。
最小特権原則：タスクを実行するために必要な最小許可のみをユーザーに付与します。過度の特権を付与することは避けてください。
レート制限：レート制限を実装して、ブルートフォース攻撃とサービス拒否（DOS）攻撃を防止します。特定の時間枠内の単一のIPアドレスからのログイン試行回数を制限します。
データベースセキュリティ：強力なパスワードを使用してデータベースを保護し、データベース監査を有効にし、定期的にデータをバックアップします。

さまざまな認証方法をYiiに統合します

YIIは、さまざまな認証方法を統合する柔軟性を提供します。 OAUTHおよびソーシャルログインの場合、通常、OAUTHフローを処理する拡張機能またはサードパーティライブラリを使用します。これらの拡張機能は、多くの場合、それぞれのOAuthプロバイダー（例、Google、Facebook、Twitter）と対話するコンポーネントを提供します。

統合プロセスには一般的に含まれます。

アプリケーションの登録： YIIアプリケーションをOAUTHプロバイダーに登録して、クライアントIDとシークレットキーを取得します。
OAUTHフローの実装：拡張機能は、OAUTHプロバイダーの承認ページへのリダイレクトを処理し、承認コードを受信し、アクセストークンと交換します。
ユーザー情報の取得：アクセストークンを使用したら、OAUTHプロバイダーのAPIからユーザー情報を取得するために使用できます。
ユーザーアカウントの作成または関連付け：取得したユーザー情報に基づいて、YIIアプリケーションで新しいユーザーアカウントを作成するか、OAUTHユーザーを既存のアカウントに関連付けます。
アクセストークンの保存： OAUTHプロバイダーのAPIへの後続の要求のために、アクセストークン（おそらくデータベースを使用）を安全に保存します。

多くの拡張機能がこのプロセスを簡素化し、人気のあるOAUTHプロバイダーに事前に構築されたコンポーネントとワークフローを提供します。これらの拡張機能をアプリケーションの資格情報で構成し、ユーザーアカウントの処理方法を定義する必要があります。

YIIアプリケーションの一般的なセキュリティの脆弱性とそれらを防ぐ方法

いくつかの一般的なセキュリティの脆弱性は、YIIアプリケーションに影響を与える可能性があります。

SQLインジェクション：これは、適切な消毒なしにユーザーがサプリしたデータがSQLクエリに直接組み込まれたときに発生します。予防： SQL注入を防ぐために、常にパラメーター化されたクエリまたは準備されたステートメントを使用してください。ユーザー入力をSQLクエリに直接連結しないでください。
クロスサイトスクリプト（XSS）：これには、悪意のあるスクリプトをアプリケーションの出力に注入することが含まれます。予防：ページに表示する前に、すべてのユーザーがサプセルしたデータをエンコードします。 YIIのHTMLエンコードヘルパーを使用します。コンテンツセキュリティポリシー（CSP）を実装します。
クロスサイトリクエストフォーファリー（CSRF）：これには、ユーザーが既に認証されているWebサイトで不要なアクションを実行するようにトリックすることが含まれます。予防： CSRF保護トークンを使用します。 YIIは、組み込みのCSRF保護メカニズムを提供します。
セッションハイジャック：これには、ユーザーのセッションIDを盗んでなりすまして、になりすまします。予防： Secure Cookie（HTTPSのみ、httponlyフラグ）を使用します。適切なセッション管理慣行を実装します。セッションIDを定期的に回転させます。
ファイルインクルージョンの脆弱性：これは、攻撃者がファイルパスを操作して悪意のあるファイルを含めることができるときに発生します。予防：すべてのファイルパスを検証し、機密ファイルへのアクセスを制限します。適切な検証なしで動的ファイル包含を使用しないでください。
検証されていないリダイレクトとフォワード：これにより、攻撃者はユーザーを悪意のあるWebサイトにリダイレクトできます。予防：リダイレクトまたはフォワードを実行する前に、常にターゲットURLを検証します。