Laravel 5.3になって、認証の部分が変りました。それに関していっぱい紹介したいことありますが、それは将来でのポストとして、今回は、「ログインのRemember Me」に関して学んだことを紹介します。
以下の画面のようにログインには、
「Remember Me」あるいは「次から入力を省略」、ログインのときにオンとすると次回から毎回毎回ログインする必要ないよという便利な機能。巷ではどこでも見かけます。
Laravelでも、認証のパッケージのインストール、
$ php artisan make:auth
を実行すると、デフォルトでついてくる機能です。
さて、この「Remember Me」でどうやってログインを要らなくするのか、そのメカニズムを探ってみましょう。
まず、「Remember Me」をクリックしてログイン成功すると、以下のように2つのクッキーを作成します。
-
laravel_session
通常のセッションのためのクッキー。期限は、
.. 'lifetime' => 120, 'expire_on_close' => true, .. 'cookie' => 'laravel_session', ..lifetimeあるいはexpires_on_closeの値で決定されます。デフォルトでは、前者が2時間(120分)、後者は、
fale。後者をtrueとするとブラウザをクローズしたときに期限切れとなります。ちなみに、このクッキーの名前は、cookieの値で変更可能です。 -
remember_web_59ba36addc2b2f9401580f014c7f58ea4e30989d
こちらは、「Remember Me」のためのクッキーで、Laravelではログインした日から5年間と期限はハードコードされています。つまり、同じブラウザを使用し続けるなら、ログオフしない限り5年間ログインなしでアクセス可能です。
このクッキーが使用されるシナリオは簡単にはこうです。
ログイン後、2時間アイドルが続いたらあるいはブラウザを閉じたら、現在のセッションは無効になります。
セッションが無効となると、ユーザーの認証が不可能となります。なぜなら、セッションの中に含まれていたユーザーのIDの取得が不可能となるからです。そうなるとログインの画面に遷移して、再度ログインしなければなりません。
しかし、「Remember Me」をオンとしてログインしていたなら、この時点で、まだ期限までたっぷり時間がある「Remember Me」のクッキーを見に行きます。
このクッキーの中には、暗号化されたユーザーIDが入っているので、それを非暗号化して再度セッションを作成します。これにより、再度ログインをすることなしに、ログインした状態をキープすることが可能となるのです。
[…] 引用元: ログインのRemember Me […]