repo_zf1/documentation/manual/ja/module_specs/Zend_OpenId-Consumer.xml

<?xml version="1.0" encoding="UTF-8"?>
<!-- Reviewed: no -->
<!-- EN-Revision: 17407 -->
<sect1 id="zend.openid.consumer">
    <title>Zend_OpenId_Consumer の基本</title>
    <para>
        <classname>Zend_OpenId_Consumer</classname> を使用して、
        ウェブサイト上の OpenID 認証スキーマを実装します。
    </para>

    <sect2 id="zend.openid.consumer.authentication">
        <title>OpenID Authentication</title>
        <para>
            サイト開発者の視点で見ると、OpenID
            の認証手続きは次の三段階となります。
        </para>

        <orderedlist>
            <listitem>
                <para>
                    OpenID 認証フォームを表示する。
                </para>
            </listitem>

            <listitem>
                <para>
                    OpenID の識別子を受け取り、それを OpenID プロバイダに渡す。
                </para>
            </listitem>

            <listitem>
                <para>
                    OpenID プロバイダからの応答を検証する。
                </para>
            </listitem>
        </orderedlist>

        <para>
            実際のところ、OpenID 認証プロトコルはもう少し複雑な手順を踏んでいます。
            しかしその大半は <classname>Zend_OpenId_Consumer</classname>
            の中にカプセル化されており、開発者側が意識する必要はありません。
        </para>

        <para>
            OpenID 認証手続きはエンドユーザ側から始まるもので、
            まず認証情報を適切な形式で入力してそれを送信するところから始まります。
            次の例は、OpenID 識別子を受け付けるシンプルなフォームを表示するものです。
            このサンプルはログイン画面を表示するだけのものであることに注意しましょう。
        </para>

        <example id="zend.openid.consumer.example-1">
            <title>シンプルな OpenID ログインフォーム</title>
            <programlisting language="php"><![CDATA[
<html><body>
<form method="post" action="example-1_2.php"><fieldset>
<legend>OpenID ログイン</legend>
<input type="text" name="openid_identifier">
<input type="submit" name="openid_action" value="login">
</fieldset></form></body></html>
]]></programlisting>
        </example>

        <para>
            このフォームを送信すると、OpenID 識別子が継ぎの <acronym>PHP</acronym>
            スクリプトに渡されます。このスクリプトが、
            認証の第二段階を処理します。
            この <acronym>PHP</acronym> スクリプトで必要なのは、
            <methodname>Zend_OpenId_Consumer::login()</methodname>
            メソッドをコールすることだけです。
            このメソッドの最初の引数は OpenID 識別子で、
            2 番目の引数はスクリプトの <acronym>URL</acronym> となります。
            ここで指定したスクリプトが認証の第三段階を処理します。
        </para>

        <example id="zend.openid.consumer.example-1_2">
            <title>認証リクエストのハンドラ</title>
            <programlisting language="php"><![CDATA[
$consumer = new Zend_OpenId_Consumer();
if (!$consumer->login($_POST['openid_identifier'], 'example-1_3.php')) {
    die("OpenID でのログインに失敗しました。");
}
]]></programlisting>
        </example>

        <para>
            <methodname>Zend_OpenId_Consumer::login()</methodname>
            は指定された識別子を調べ、成功した場合には識別プロバイダのアドレスと
            そのローカル識別子を取得します。そして、
            そのプロバイダとの関連付けを行い、
            サイトとプロバイダが同じ秘密情報を共有するようにします。
            この情報を使用してそれ以降のメッセージの署名を行います。
            それから、認証リクエストをプロバイダに渡します。
            このリクエストは、エンドユーザ側のウェブブラウザから
            OpenID サーバサイトにリダイレクトされることに注意しましょう。
            ユーザは、その後も認証手続きを進めることができます。
        </para>

        <para>
            OpenID サーバがユーザに通常たずねるのは、
            パスワード (ユーザがまだログインしていない場合) や
            ユーザがこのサイトを信頼しているかどうか、
            そしてそのサイトからどんな情報を返すかといった内容です。
            これらのやりとりは、OpenID 対応のサイトからは見えない状態になるので、
            ユーザのパスワードやその他の情報はオープンにはなりません。
        </para>

        <para>
            成功した場合は <methodname>Zend_OpenId_Consumer::login()</methodname>
            は何も返さずに <acronym>HTTP</acronym> リダイレクトを行います。
            エラーが発生した場合は false を返します。
            エラーが発生するのは、たとえば識別子が無効だったり
            プロバイダが死んでいたり、通信障害が発生したりした場合などです。
        </para>

        <para>
            認証の第三段階の処理は、ユーザのパスワードによる認証を終えた
            OpenID プロバイダからの応答によって始まります。
            この応答は、ウェブブラウザの <acronym>HTTP</acronym> リダイレクトによって間接的に渡されます。
            サイト側では、この応答が正しいものであるかどうかだけを確認することになります。
        </para>

        <example id="zend.openid.consumer.example-1_3">
            <title>認証の応答の検証</title>
            <programlisting language="php"><![CDATA[
$consumer = new Zend_OpenId_Consumer();
if ($consumer->verify($_GET, $id)) {
    echo "有効 " . htmlspecialchars($id);
} else {
    echo "無効 " . htmlspecialchars($id);
}
]]></programlisting>
        </example>

        <para>
            この検証は <classname>Zend_OpenId_Consumer::verify</classname>
            メソッドで行います。このメソッドは、
            <acronym>HTTP</acronym> リクエストの引数の配列全体を受け取って、
            そのレスポンスが適切な OpenID プロバイダによって署名されたものかどうかを調べます。
            また、エンドユーザが最初に入力した
            OpenID 識別子を 2 番目の (オプションの) 引数として渡します。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.combine">
        <title>すべての処理をひとつのページにまとめる</title>
        <para>
            次の例は、これらの三段階をひとつにまとめたものです。
            それ以外に特別な付加機能はありません。
            唯一の利点は、次の段階を処理するスクリプトの
            <acronym>URL</acronym> を指定しなくてもよくなるということです。
            デフォルトでは、すべての段階を同じ <acronym>URL</acronym> で処理します。
            ただ、このスクリプトの内部にはディスパッチ用のコードが含まれており、
            認証の各段階に応じて適切なコードに処理を振り分けるようになっています。
        </para>

        <example id="zend.openid.consumer.example-2">
            <title>完全な OpenID ログインスクリプト</title>
            <programlisting language="php"><![CDATA[
<?php
$status = "";
if (isset($_POST['openid_action']) &&
    $_POST['openid_action'] == "login" &&
    !empty($_POST['openid_identifier'])) {

    $consumer = new Zend_OpenId_Consumer();
    if (!$consumer->login($_POST['openid_identifier'])) {
        $status = "OpenID でのログインに失敗しました。";
    }
} else if (isset($_GET['openid_mode'])) {
    if ($_GET['openid_mode'] == "id_res") {
        $consumer = new Zend_OpenId_Consumer();
        if ($consumer->verify($_GET, $id)) {
            $status = "有効 " . htmlspecialchars($id);
        } else {
            $status = "無効 " . htmlspecialchars($id);
        }
    } else if ($_GET['openid_mode'] == "cancel") {
        $status = "キャンセル";
    }
}
?>
<html><body>
<?php echo "$status<br>" ?>
<form method="post">
<fieldset>
<legend>OpenID ログイン</legend>
<input type="text" name="openid_identifier" value=""/>
<input type="submit" name="openid_action" value="login"/>
</fieldset>
</form>
</body></html>
]]></programlisting>
        </example>

        <para>
            さらに、このコードでは
            キャンセルされた場合と認証の応答が間違っていた場合を区別しています。
            プロバイダの応答がキャンセルとなるのは、
            識別プロバイダがその識別子について知らなかった場合や
            ユーザがログインしていない場合、
            あるいはユーザがそのサイトを信頼しない場合などです。
            応答が間違っているのは、
            署名が間違っている場合などです。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.realm">
        <title>コンシューマレルム</title>
        <para>
            OpenID 対応のサイトがプロバイダへの認証リクエストを通過すると、
            自分自身をレルム <acronym>URL</acronym> で識別するようになります。
            この <acronym>URL</acronym> は、信頼済みサイトのルートとみなされます。
            ユーザがその <acronym>URL</acronym> を信頼すると、
            その配下の <acronym>URL</acronym> も同様に信頼することになります。
        </para>

        <para>
            デフォルトでは、レルム <acronym>URL</acronym> は自動的にログインスクリプトがあるディレクトリの
            <acronym>URL</acronym> に設定されます。大半の場合はこれで大丈夫ですが、
            そうではない場合もあります。
            際と全体で共通のログインスクリプトを使用している場合や、
            ひとつのドメインで複数のサーバを組み合わせて使用している場合などです。
        </para>

        <para>
            このような場合は、レルムの値を
            <classname>Zend_OpenId_Consumer::login</classname> メソッドの 3 番目の引数として渡すことができます。
            次の例は、すべての php.net サイトへの信頼済みアクセスを一度に確認するものです。
        </para>

        <example id="zend.openid.consumer.example-3_2">
            <title>指定したレルムへの認証リクエスト</title>
            <programlisting language="php"><![CDATA[
$consumer = new Zend_OpenId_Consumer();
if (!$consumer->login($_POST['openid_identifier'],
                      'example-3_3.php',
                      'http://*.php.net/')) {
    die("OpenID でのログインに失敗しました。");
}
]]></programlisting>
        </example>

        <para>
            以下の例では、認証の第二段階のみを実装しています。
            それ以外の段階については最初の例と同じです。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.check">
        <title>即時確認</title>
        <para>
            場合によっては、信頼済み OpenID
            サーバにそのユーザがログインしているかどうかを
            ユーザとのやりとりなしに知りたいこともあります。
            そのような場合に最適なメソッドが <classname>Zend_OpenId_Consumer::check</classname>
            です。このメソッドの引数は <classname>Zend_OpenId_Consumer::login</classname>
            とまったく同じですが、ユーザ側には OpenID サーバのページを一切見せません。
            したがって、ユーザ側から見れば処理は透過的に行われ、
            まるで他のサイトに一切移動していないように見えるようになります。
            そのユーザがすでにログインしており、かつそのサイトを信頼している場合に
            第三段階の処理が成功し、それ以外の場合は失敗します。
        </para>

        <example id="zend.openid.consumer.example-4">
            <title>対話形式でない即時確認</title>
            <programlisting language="php"><![CDATA[
$consumer = new Zend_OpenId_Consumer();
if (!$consumer->check($_POST['openid_identifier'], 'example-4_3.php')) {
    die("OpenID でのログインに失敗しました。");
}
]]></programlisting>
        </example>

        <para>
            以下の例では、認証の第二段階のみを実装しています。
            それ以外の段階については最初の例と同じです。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.storage">
        <title>Zend_OpenId_Consumer_Storage</title>
        <para>
            OpenID の認証手続きは三段階に分かれており、
            それぞれで別々の <acronym>HTTP</acronym> リクエストを使用します。
            それらのリクエスト間で情報を保存するため、
            <classname>Zend_OpenId_Consumer</classname> では内部ストレージを使用します。
        </para>

        <para>
            開発者は特にこのストレージを気にする必要はありません。
            デフォルトで、<classname>Zend_OpenId_Consumer</classname>
            は /tmp 配下のファイルベースのストレージを使用するからです。
            これは <acronym>PHP</acronym> のセッションと同じ挙動です。
            しかし、このストレージがあらゆる場合にうまく使えるというわけではありません。
            たとえばその手の情報はデータベースに保存したいという人もいるでしょうし、
            大規模なウェブファームで共通のストレージを使用したいこともあるでしょう。
            幸いなことに、このデフォルトのストレージは簡単に変更することができます。
            そのために必要なのは、<classname>Zend_OpenId_Consumer_Storage</classname>
            クラスを継承した独自のストレージクラスを実装して
            それを <classname>Zend_OpenId_Consumer</classname>
            のコンストラクタへの最初の引数として渡すことだけです。
        </para>

        <para>
            次の例は、バックエンドとして <classname>Zend_Db</classname>
            を使用するシンプルなストレージです。三種類の機能を持っています。
            最初の機能は関連付けの情報、そして 2 番目が確認した内容のキャッシュ、
            そして 3 番目が応答の一意性の確認です。このクラスは、
            既存のデータベースや新しいデータベースで簡単に使用できるように実装されています。
            必要に応じて、もしまだテーブルが存在しなければ自動的にテーブルを作成します。
        </para>

        <example id="zend.openid.consumer.example-5">
            <title>データベースストレージ</title>
            <programlisting language="php"><![CDATA[
class DbStorage extends Zend_OpenId_Consumer_Storage
{
    private $_db;
    private $_association_table;
    private $_discovery_table;
    private $_nonce_table;

    // Zend_Db_Adapter オブジェクトと
    // テーブル名を渡します
    public function __construct($db,
                                $association_table = "association",
                                $discovery_table = "discovery",
                                $nonce_table = "nonce")
    {
        $this->_db = $db;
        $this->_association_table = $association_table;
        $this->_discovery_table = $discovery_table;
        $this->_nonce_table = $nonce_table;
        $tables = $this->_db->listTables();

        // アソシエーションテーブルが存在しない場合は作成します
        if (!in_array($association_table, $tables)) {
            $this->_db->getConnection()->exec(
                "create table $association_table (" .
                " url     varchar(256) not null primary key," .
                " handle  varchar(256) not null," .
                " macFunc char(16) not null," .
                " secret  varchar(256) not null," .
                " expires timestamp" .
                ")");
        }

        // ディスカバリーテーブルが存在しない場合は作成します
        if (!in_array($discovery_table, $tables)) {
            $this->_db->getConnection()->exec(
                "create table $discovery_table (" .
                " id      varchar(256) not null primary key," .
                " realId  varchar(256) not null," .
                " server  varchar(256) not null," .
                " version float," .
                " expires timestamp" .
                ")");
        }

        // ノンステーブルが存在しない場合は作成します
        if (!in_array($nonce_table, $tables)) {
            $this->_db->getConnection()->exec(
                "create table $nonce_table (" .
                " nonce   varchar(256) not null primary key," .
                " created timestamp default current_timestamp" .
                ")");
        }
    }

    public function addAssociation($url,
                                   $handle,
                                   $macFunc,
                                   $secret,
                                   $expires)
    {
        $table = $this->_association_table;
        $secret = base64_encode($secret);
        $this->_db
             ->query('insert into ' .
                     $table (url, handle, macFunc, secret, expires) " .
                     "values ('$url', '$handle', '$macFunc', " .
                     "'$secret', $expires)");
        return true;
    }

    public function getAssociation($url,
                                   &$handle,
                                   &$macFunc,
                                   &$secret,
                                   &$expires)
    {
        $table = $this->_association_table;
        $this->_db->query("delete from $table where expires < " . time());
        $res = $this->_db->fetchRow('select handle, macFunc, secret, expires ' .
                                    "from $table where url = '$url'");
        if (is_array($res)) {
            $handle  = $res['handle'];
            $macFunc = $res['macFunc'];
            $secret  = base64_decode($res['secret']);
            $expires = $res['expires'];
            return true;
        }
        return false;
    }

    public function getAssociationByHandle($handle,
                                           &$url,
                                           &$macFunc,
                                           &$secret,
                                           &$expires)
    {
        $table = $this->_association_table;
        $this->_db->query("delete from $table where expires < " . time());
        $res = $this->_db
                    ->fetchRow('select url, macFunc, secret, expires ' .
                               "from $table where handle = '$handle'");
        if (is_array($res)) {
            $url     = $res['url'];
            $macFunc = $res['macFunc'];
            $secret  = base64_decode($res['secret']);
            $expires = $res['expires'];
            return true;
        }
        return false;
    }

    public function delAssociation($url)
    {
        $table = $this->_association_table;
        $this->_db->query("delete from $table where url = '$url'");
        return true;
    }

    public function addDiscoveryInfo($id,
                                     $realId,
                                     $server,
                                     $version,
                                     $expires)
    {
        $table = $this->_discovery_table;
        $this->_db
             ->query("insert into $table " .
                     "(id, realId, server, version, expires) " .
                     "values " .
                     "('$id', '$realId', '$server', $version, $expires)");
        return true;
    }

    public function getDiscoveryInfo($id,
                                     &$realId,
                                     &$server,
                                     &$version,
                                     &$expires)
    {
        $table = $this->_discovery_table;
        $this->_db->query("delete from $table where expires < " . time());
        $res = $this->_db
                    ->fetchRow('select realId, server, version, expires ' .
                               "from $table where id = '$id'");
        if (is_array($res)) {
            $realId  = $res['realId'];
            $server  = $res['server'];
            $version = $res['version'];
            $expires = $res['expires'];
            return true;
        }
        return false;
    }

    public function delDiscoveryInfo($id)
    {
        $table = $this->_discovery_table;
        $this->_db->query("delete from $table where id = '$id'");
        return true;
    }

    public function isUniqueNonce($nonce)
    {
        $table = $this->_nonce_table;
        try {
            $ret = $this->_db
                        ->query("insert into $table (nonce) values ('$nonce')");
        } catch (Zend_Db_Statement_Exception $e) {
            return false;
        }
        return true;
    }

    public function purgeNonces($date=null)
    {
    }
}

$db = Zend_Db::factory('Pdo_Sqlite',
    array('dbname'=>'/tmp/openid_consumer.db'));
$storage = new DbStorage($db);
$consumer = new Zend_OpenId_Consumer($storage);
]]></programlisting>
        </example>

        <para>
            このサンプルには OpenID の認証コードそのものは含まれません。
            しかし、先ほどの例やこの後の例と同じロジックに基づいています。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.sreg">
        <title>Simple Registration Extension</title>
        <para>
            認証に加えて、OpenID は軽量なプロファイル交換のためにも使用できます。
            この機能は OpenID 認証の仕様ではカバーされておらず、
            OpenID Simple Registration Extension プロトコルで対応しています。
            このプロトコルを使用すると、
            OpenID 対応のサイトがエンドユーザに関する情報を
            OpenID プロバイダから取得できるようになります。
            取得できる情報には次のようなものがあります。
        </para>

        <itemizedlist>
            <listitem>
                <para>
                    <emphasis>nickname</emphasis>
                     - ユーザがニックネームとして使用している UTF-8 文字列。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>email</emphasis>
                    - エンドユーザのメールアドレス。RFC2822 のセクション 3.4.1
                    の形式。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>fullname</emphasis>
                    - エンドユーザのフルネームを表す UTF-8 文字列。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>dob</emphasis>
                    - エンドユーザの誕生日を YYYY-MM-DD 形式で表したもの。
                    指定されている桁数より少ない場合は、ゼロ埋めされます。
                    この値は常に 10 文字となります。
                    エンドユーザがこの情報の公開を希望しない場合は、
                    その部分の値をゼロに設定する必要があります。
                    たとえば、1980 年生まれであることは公開するが
                    月や日は公開したくないというエンドユーザの場合、
                    返される値は "1980-00-00" となります。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>gender</emphasis>
                    - エンドユーザの姓。"M" が男性で "F" が女性。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>postcode</emphasis>
                    - エンドユーザの国の郵便システムに対応した UTF-8 文字列。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>country</emphasis>
                    - エンドユーザの居住地 (国) を ISO3166 形式で表したもの。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>language</emphasis>
                    - エンドユーザの使用言語を ISO639 形式で表したもの。
                </para>
            </listitem>
            <listitem>
                <para>
                    <emphasis>timezone</emphasis>
                    - TimeZone データベースの <acronym>ASCII</acronym> 文字列。
                    "Europe/Paris" あるいは "America/Los_Angeles" など。
                </para>
            </listitem>
        </itemizedlist>

        <para>
            OpenID 対応のウェブサイトからは、
            これらのフィールドの任意の組み合わせについての問い合わせをすることができます。
            また、いくつかの情報についてのみ厳密に問い合わせを行い、
            それ以外の情報については開示するかしないかをユーザに決めさせることもできます。
            次の例は、<emphasis>nickname</emphasis> およびオプションで
            <emphasis>email</emphasis> と <emphasis>fullname</emphasis>
            を要求する <classname>Zend_OpenId_Extension_Sreg</classname>
            クラスのオブジェクトを作成するものです。
        </para>

        <example id="zend.openid.consumer.example-6_2">
            <title>Simple Registration Extension のリクエストの送信</title>
            <programlisting language="php"><![CDATA[
$sreg = new Zend_OpenId_Extension_Sreg(array(
    'nickname'=>true,
    'email'=>false,
    'fullname'=>false), null, 1.1);
$consumer = new Zend_OpenId_Consumer();
if (!$consumer->login($_POST['openid_identifier'],
                      'example-6_3.php',
                      null,
                      $sreg)) {
    die("OpenID でのログインに失敗しました。");
}
]]></programlisting>
        </example>

        <para>
            見てのとおり、<classname>Zend_OpenId_Extension_Sreg</classname>
            のコンストラクタに渡すのは問い合わせたいフィールドの配列です。
            この配列のインデックスはフィールド名、値はフラグとなります。
            <emphasis>true</emphasis> はそのフィールドが必須であること、そして
            <emphasis>false</emphasis> はそのフィールドがオプションであることを表します。
            <classname>Zend_OpenId_Consumer::login</classname> の 4 番目の引数には、
            extension あるいは extension のリストを指定することができます。
        </para>

        <para>
            認証の第三段階で、<classname>Zend_OpenId_Extension_Sreg</classname>
            オブジェクトが <classname>Zend_OpenId_Consumer::verify</classname>
            に渡されます。そして、認証に成功すると、
            <classname>Zend_OpenId_Extension_Sreg::getProperties</classname>
            は要求されたフィールドの配列を返します。
        </para>

        <example id="zend.openid.consumer.example-6_3">
            <title>Simple Registration Extension の応答内容の検証</title>
            <programlisting language="php"><![CDATA[
$sreg = new Zend_OpenId_Extension_Sreg(array(
    'nickname'=>true,
    'email'=>false,
    'fullname'=>false), null, 1.1);
$consumer = new Zend_OpenId_Consumer();
if ($consumer->verify($_GET, $id, $sreg)) {
    echo "有効 " . htmlspecialchars($id) . "<br>\n";
    $data = $sreg->getProperties();
    if (isset($data['nickname'])) {
        echo "nickname: " . htmlspecialchars($data['nickname']) . "<br>\n";
    }
    if (isset($data['email'])) {
        echo "email: " . htmlspecialchars($data['email']) . "<br>\n";
    }
    if (isset($data['fullname'])) {
        echo "fullname: " . htmlspecialchars($data['fullname']) . "<br>\n";
    }
} else {
    echo "無効 " . htmlspecialchars($id);
}
]]></programlisting>
        </example>

        <para>
            引数を渡さずに <classname>Zend_OpenId_Extension_Sreg</classname>
            を作成した場合は、必要なデータが存在するかどうかを
            ユーザ側のコードで調べなければなりません。
            しかし、第二段階で必要となるフィールドと同じ内容のリストでオブジェクトを作成した場合は、
            必要なデータの存在は自動的にチェックされます。
            この場合、必須フィールドのいずれかが存在しなければ
            <classname>Zend_OpenId_Consumer::verify</classname> は
            <emphasis>false</emphasis> を返します。
        </para>

        <para>
            デフォルトでは <classname>Zend_OpenId_Extension_Sreg</classname> はバージョン
            1.0 を使用します。バージョン 1.1 の仕様はまだ確定していないからです。
            しかし、中にはバージョン 1.0 の機能では完全にはサポートしきれないライブラリもあります。
            たとえば www.myopenid.com ではリクエストに SREG
            名前空間が必須となりますが、これは 1.1 にしか存在しません。
            このサーバを使用する場合は、<classname>Zend_OpenId_Extension_Sreg</classname>
            のコンストラクタで明示的にバージョン 1.1 を指定する必要があります。
        </para>

        <para>
            <classname>Zend_OpenId_Extension_Sreg</classname> のコンストラクタの 2 番目の引数は、
            ポリシーの <acronym>URL</acronym> です。これは、識別プロバイダがエンドユーザに提供する必要があります。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.auth">
        <title>Zend_Auth との統合</title>
        <para>
            Zend Framework には、ユーザ認証用のクラスが用意されています。
            そう、<classname>Zend_Auth</classname> のことです。
            このクラスを <classname>Zend_OpenId_Consumer</classname>
            と組み合わせて使うこともできます。次の例は、
            <code>OpenIdAdapter</code> が
            <classname>Zend_Auth_Adapter_Interface</classname> の
            <code>authenticate</code> メソッドを実装する方法を示すものです。
            これは、認証問い合わせと検証を行います。
        </para>

        <para>
            このアダプタと既存のアダプタの大きな違いは、
            このアダプタが 2 回の <acronym>HTTP</acronym> リクエストで動作することと
            OpenID 認証の第二段階、第三段階用に処理を振り分けるコードがあることです。
        </para>

        <example id="zend.openid.consumer.example-7">
            <title>OpenID 用の Zend_Auth アダプタ</title>
            <programlisting language="php"><![CDATA[
<?php
class OpenIdAdapter implements Zend_Auth_Adapter_Interface {
    private $_id = null;

    public function __construct($id = null) {
        $this->_id = $id;
    }

    public function authenticate() {
        $id = $this->_id;
        if (!empty($id)) {
            $consumer = new Zend_OpenId_Consumer();
            if (!$consumer->login($id)) {
                $ret = false;
                $msg = "認証に失敗しました。";
            }
        } else {
            $consumer = new Zend_OpenId_Consumer();
            if ($consumer->verify($_GET, $id)) {
                $ret = true;
                $msg = "認証に成功しました。";
            } else {
                $ret = false;
                $msg = "認証に失敗しました。";
            }
        }
        return new Zend_Auth_Result($ret, $id, array($msg));
    }
}

$status = "";
$auth = Zend_Auth::getInstance();
if ((isset($_POST['openid_action']) &&
     $_POST['openid_action'] == "login" &&
     !empty($_POST['openid_identifier'])) ||
    isset($_GET['openid_mode'])) {
    $adapter = new OpenIdAdapter(@$_POST['openid_identifier']);
    $result = $auth->authenticate($adapter);
    if ($result->isValid()) {
        Zend_OpenId::redirect(Zend_OpenId::selfURL());
    } else {
        $auth->clearIdentity();
        foreach ($result->getMessages() as $message) {
            $status .= "$message<br>\n";
        }
    }
} else if ($auth->hasIdentity()) {
    if (isset($_POST['openid_action']) &&
        $_POST['openid_action'] == "logout") {
        $auth->clearIdentity();
    } else {
        $status = $auth->getIdentity() . " としてログインしました。<br>\n";
    }
}
?>
<html><body>
<?php echo htmlspecialchars($status);?>
<form method="post"><fieldset>
<legend>OpenID ログイン</legend>
<input type="text" name="openid_identifier" value="">
<input type="submit" name="openid_action" value="login">
<input type="submit" name="openid_action" value="logout">
</fieldset></form></body></html>
]]></programlisting>
        </example>

        <para>
            <classname>Zend_Auth</classname> と組み合わせた場合、
            エンドユーザの識別子はセッションに保存されます。
            これを取得するには <classname>Zend_Auth::hasIdentity</classname>
            および <classname>Zend_Auth::getIdentity</classname>
            を使用します。
        </para>
    </sect2>

    <sect2 id="zend.openid.consumer.mvc">
        <title>Zend_Controller との統合</title>
        <para>
            最後に、Model-View-Controller
            アプリケーションへの組み込みについて簡単に説明しておきます。
            Zend Framework のアプリケーションは
            <classname>Zend_Controller</classname> クラスを使用して実装されており、
            エンドユーザのウェブブラウザに返す <acronym>HTTP</acronym> レスポンスは
            <classname>Zend_Controller_Response_Http</classname>
            クラスのオブジェクトを使用して準備しています。
        </para>

        <para>
            <classname>Zend_OpenId_Consumer</classname> には GUI 機能はありませんが、
            <classname>Zend_OpenId_Consumer::login</classname> および
            <classname>Zend_OpenId_Consumer::check</classname>
            に成功した場合に <acronym>HTTP</acronym> リダイレクトを行います。
            もしそれ以前に何らかの情報がウェブブラウザに送信されていると、
            このリダイレクトがうまく動作しません。
            <acronym>MVC</acronym> コードで <acronym>HTTP</acronym> リダイレクトを正しく機能させるため、
            <classname>Zend_OpenId_Consumer::login</classname> あるいは
            <classname>Zend_OpenId_Consumer::check</classname> の最後の引数に
            <classname>Zend_Controller_Response_Http</classname> を渡す必要があります。
        </para>
    </sect2>
</sect1>
<!--
vim:se ts=4 sw=4 et:
-->