二段階認証

[seto1]

ご確認お願いします。

改修内容

• システム基本設定 設定追加
  • 「二段階認証」
• 上記の設定にチェックが入っている場合、管理画面ログイン時・API認証時に二段階認証用のコードが必要になる
  • コードはメールでユーザー宛に6桁の数値で送信される

変更ファイル

• plugins/BcThemeSample/config/data/default/BaserCore/site_configs.csv
• plugins/BcThemeSample/config/data/empty/BaserCore/site_configs.csv
• plugins/baser-core/config/Migrations/20240527070222_TwoFactorAuthentications.php
• plugins/baser-core/config/Seeds/SiteConfigsSeed.php
• plugins/bc-front/config/data/default/BaserCore/site_configs.csv
  • 初期値設定
• plugins/baser-core/config/setting.php
  • 二段階認証コードの有効時間の設定を追加
  • 権限がなくてもアクセス可能なリストに二段階認証コード入力画面を追加
• plugins/baser-core/src/BaserCorePlugin.php
  • イベントリスナー追加
• plugins/baser-core/src/Controller/Admin/UsersController.php
  • 二段階認証コード入力用のアクション追加
  • ログイン画面でID・PWを入力後ここに遷移する
  • メールで受信した認証コードを入力するとログイン
• plugins/baser-core/src/Event/BcAuthenticationEventListener.php
  • 認証後の処理を追加
  • 二段階認証が有効な場合、認証コード入力画面に遷移
  • ここで認証コードがID・PWと一緒に送信されている場合はそのままログイン
    • API用
• plugins/baser-core/src/Mailer/TwoFactorAuthenticationMailer.php
  • 認証コードメール送信
• plugins/baser-core/src/Model/Table/TwoFactorAuthenticationsTable.php
  • テーブル
• plugins/baser-core/src/Service/TwoFactorAuthenticationsService.php
  • 認証コードの送信と検証を行うサービスクラス
• plugins/baser-core/src/Service/TwoFactorAuthenticationsServiceInterface.php
  • インターフェース
• plugins/baser-core/src/ServiceProvider/BcServiceProvider.php
  • TwoFactorAuthenticationsサービスクラスを追加
• plugins/baser-core/tests/TestCase/Controller/Admin/UsersControllerTest.php
• plugins/baser-core/tests/TestCase/Event/BcAuthenticationEventListenerTest.php
• plugins/baser-core/tests/TestCase/Model/Table/TwoFactorAuthenticationsTableTest.php
• plugins/baser-core/tests/TestCase/Service/TwoFactorAuthenticationsServiceTest.php
  • テスト
• plugins/bc-admin-third/src/css/components/_login.scss
  • 認証コード入力画面のスタイル
• plugins/bc-admin-third/templates/Admin/SiteConfigs/index.php
  • システム基本設定にオプション追加
• plugins/bc-admin-third/templates/Admin/Users/login_code.php
  • 認証コード入力画面のビュー
• plugins/bc-admin-third/templates/email/text/login_code.php
  • 認証コード送信メール文
• plugins/bc-admin-third/webroot/css/admin/style.css
  • 自動生成されたcss
• plugins/bc-favorite/src/Event/BcFavoriteViewEventListener.php
  • お気に入りプラグインが有効だとパスワード再発行画面や認証コード入力画面でエラーになるため調整

[seto1]

@kk-uchino レビューお願いします。

[kk-uchino]

@seto1 @ryuring APIでcodeを取得するためにメールアドレス, パスワードのみをリクエストボディにセットして送信した場合に、レスポンスコードが401でメールにcodeが送信されているため違和感がありました。

• リクエストボディにcodeが存在しない場合はレスポンスコード200で認証コードを送信
• リクエストボディにcodeが存在していて、codeが一致しない場合はレスポンスコード401

で良いのかなと思うのですが、いかがでしょうか？

[seto1]

@kk-uchino ありがとうございます。

APIでcodeを取得するためにメールアドレス, パスワードのみをリクエストボディにセットして送信した場合に、レスポンスコードが401でメールにcodeが送信されているため違和感がありました。

そうですね、今のままだとフロント側で困りそうですね。

リクエストボディにcodeが存在しない場合はレスポンスコード200で認証コードを送信 リクエストボディにcodeが存在していて、codeが一致しない場合はレスポンスコード401

ただこれだと、フロントと管理側の連携が取れていないときに意図せず200が返ってしまう可能性があります。

例: フロント: 二段階認証がOFFの前提 通常のIDとPWのログイン画面 管理側: 二段階認証がONになっている

この状態でログインしようとすると、200が返ってくることでフロント側がログインが成功したと判断してしまう可能性があります。

それを回避するために、リクエストにsend_codeが含まれていたらレスポンス200でcodeを送信するというのはどうでしょう。

[kk-uchino]

@seto1 確かにフロントの想定と管理側の設定が一致しない場合に問題発生しそうですね。

@ryuring

リクエストにsend_codeが含まれていたらレスポンス200でcodeを送信するというのはどうでしょう。

こちら問題ないと思うのですが、いかがでしょうか？