How to Add "Remember Me" Login Functionality

Once a user is authenticated, their credentials are typically stored in the session. This means that when the session ends they will be logged out and have to provide their login details again next time they wish to access the application. You can allow users to choose to stay logged in for longer than the session lasts using a cookie with the remember_me firewall option:

ユーザーが認証されると、その資格情報は通常、セッションに保存されます。これは、セッションが終了するとログアウトされ、次にアプリケーションにアクセスするときにログインの詳細を再度提供する必要があることを意味します。 cookie を使用して、remember_me ファイアウォール オプションを使用して、セッションが持続するよりも長くログインしたままにすることをユーザーが選択できるようにすることができます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
10
11
12
13
14
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            remember_me:
                secret:   '%kernel.secret%' # required
                lifetime: 604800 # 1 week in seconds
                # by default, the feature is enabled by checking a
                # checkbox in the login form (see below), uncomment the
                # following line to always enable it.
                #always_remember_me: true

The secret option is the only required option and it is used to sign the remember me cookie. It's common to use the kernel.secret parameter, which is defined using the APP_SECRET environment variable.

secret オプションは唯一の必須オプションであり、remember me cookie に署名するために使用されます。 APP_SECRET 環境変数を使用して定義される kernel.secret パラメータを使用するのが一般的です。

After enabling the remember_me system in the configuration, there are a couple more things to do before remember me works correctly:

構成でremember_meシステムを有効にした後、remember meが正しく機能する前に、さらにいくつかの作業を行う必要があります:
  1. Add an opt-in checkbox to activate remember me;
    オプトイン チェックボックスを追加して、記憶を有効にします。
  2. Use an authenticator that supports remember me;
    Remember Me をサポートするオーセンティケーターを使用してください。
  3. Optionally, configure how remember me cookies are stored and validated.
    必要に応じて、remember me Cookie の保存方法と検証方法を構成します。

After this, the remember me cookie will be created upon successful authentication. For some pages/actions, you can force a user to fully authenticate (i.e. not through a remember me cookie) for better security.

この後、認証が成功すると、remember me cookie が作成されます。一部のページ/アクションでは、セキュリティを強化するために、ユーザーに完全な認証 (つまり、remember me cookie を使用しない) を強制できます。

Note

ノート

The remember_me setting contains many settings to configure the cookie created by this feature. See Customizing the Remember Me Cookie for a full description of these settings.

remember_me 設定には、この機能によって作成された Cookie を構成するための多くの設定が含まれています。これらの設定の詳細については、Remember Me Cookie のカスタマイズを参照してください。

Activating the Remember Me System

Using the remember me cookie is not always appropriate (e.g. you should not use it on a shared PC). This is why by default, Symfony requires your users to opt-in to the remember me system via a request parameter.

リメンバー ミー クッキーの使用が常に適切であるとは限りません (たとえば、共有 PC では使用しないでください)。これが、Symfony がデフォルトでユーザーに要求パラメータを介して記憶システムにオプトインすることを要求する理由です。

This request parameter is often set via a checkbox in the login form. This checkbox must have a name of _remember_me:

このリクエスト パラメータは、多くの場合、ログイン フォームのチェックボックスを介して設定されます。このチェックボックスには、_remember_me という名前が必要です:
1
2
3
4
5
6
7
8
9
10
11
{# templates/security/login.html.twig #}
<form method="post">
    {# ... your form fields #}

    <label>
        <input type="checkbox" name="_remember_me" checked/>
        Keep me logged in
    </label>

    {# ... #}
</form>

Note

ノート

Optionally, you can configure a custom name for this checkbox using the name setting under the remember_me section.

オプションで、remember_me セクションの name 設定を使用して、このチェックボックスのカスタム名を構成できます。

Always activating Remember Me

Sometimes, you may wish to always activate the remember me system and not allow users to opt-out. In these cases, you can use the always_remember_me setting:

場合によっては、常に記憶システムを有効にして、ユーザーがオプトアウトできないようにしたい場合があります。このような場合、always_remember_me 設定を使用できます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
10
11
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            remember_me:
                secret: '%kernel.secret%'
                # ...
                always_remember_me: true

Now, no request parameter is checked and each successful authentication will produce a remember me cookie.

現在、リクエスト パラメータはチェックされず、認証が成功するたびに、remember me cookie が生成されます。

Add Remember Me Support to the Authenticator

Not all authentication methods support remember me (e.g. HTTP Basic authentication doesn't have support). An authenticator indicates support using a RememberMeBadge on the security passport.

すべての認証方法が「remember me」をサポートしているわけではありません (たとえば、HTTP Basicauthentication はサポートされていません)。オーセンティケータは、セキュリティ パスポートのRememberMeBadgeを使用してサポートを示します。

After logging in, you can use the security profiler to see if this badge is present:

ログイン後、セキュリティ プロファイラーを使用して、このバッジが存在するかどうかを確認できます。

Without this badge, remember me will be not be activated (regardless of all other settings).

このバッジがないと、(他のすべての設定に関係なく) 有効化されないことを忘れないでください。

Add Remember Me Support to Custom Authenticators

When you use a custom authenticator, you must add a RememberMeBadge manually:

カスタム オーセンティケーターを使用する場合は、RememberMeBadge を手動で追加する必要があります。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
// src/Service/LoginAuthenticator.php
namespace App\Service;

// ...
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\RememberMeBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Badge\UserBadge;
use Symfony\Component\Security\Http\Authenticator\Passport\Passport;

class LoginAuthenticator extends AbstractAuthenticator
{
    public function authenticate(Request $request): Passport
    {
        // ...

        return new Passport(
            new UserBadge(...),
            new PasswordCredentials(...),
            [
                new RememberMeBadge(),
            ]
        );
    }
}

Customize how Remember Me Tokens are Stored

Remember me cookies contain a token that is used to verify the user's identity. As these tokens are long-lived, it is important to take precautions to allow invalidating any generated tokens.

Cookie には、ユーザーの身元を確認するために使用されるトークンが含まれています。これらのトークンは有効期間が長いため、生成されたトークンを無効にできるように予防措置を講じることが重要です。

Symfony provides two ways to validate remember me tokens:

Symfony は、remember me トークンを検証する 2 つの方法を提供します。
Signature based tokens
By default, the remember me cookie contains a signature based on properties of the user. If the properties change, the signature changes and already generated tokens are no longer considered valid. See How to Add "Remember Me" Login Functionality for more information.
デフォルトでは、remember me cookie には、ユーザーのプロパティに基づく署名が含まれています。プロパティが変更されると、署名が変更され、既に生成されたトークンは有効と見なされなくなります。詳細については、「Remember Me」ログイン機能を追加する方法を参照してください。
Persistent tokens
Persistent tokens store any generated token (e.g. in a database). This allows you to invalidate tokens by changing the rows in the database. See How to Add "Remember Me" Login Functionality for more information.
永続的なトークンは、生成されたトークンを (データベースなどに) 保存します。これにより、データベース内の行を変更してトークンを無効にすることができます。詳細については、「Remember Me」ログイン機能を追加する方法を参照してください。

Note

ノート

You can also write your own custom remember me handler by creating a class that extends AbstractRememberMeHandler (or implements RememberMeHandlerInterface). You can then configure this custom handler by configuring the service ID in the service option under remember_me.

また、AbstractRememberMeHandler を拡張する (または RememberMeHandlerInterface を実装する) クラスを作成することで、独自のカスタム Remember Me ハンドラーを作成することもできます。次に、remember_me の下のサービス オプションで serviceID を構成することにより、このカスタム ハンドラーを構成できます。

Using Signed Remember Me Tokens

By default, remember me cookies contain a hash that is used to validate the cookie. This hash is computed based on configured signature properties.

デフォルトでは、cookie には、cookie の検証に使用されるハッシュが含まれています。このハッシュは、構成された署名プロパティに基づいて計算されます。

These properties are always included in the hash:

これらのプロパティは常にハッシュに含まれます。
  • The user identifier (returned by getUserIdentifier());
    ユーザー識別子 (getUserIdentifier() によって返されます);
  • The expiration timestamp.
    有効期限のタイムスタンプ。

On top of these, you can configure custom properties using the signature_properties setting (defaults to password). The properties are fetched from the user object using the PropertyAccess component (e.g. using getUpdatedAt() or a public $updatedAt property when using updatedAt).

これらに加えて、signature_properties 設定 (デフォルトは password) を使用してカスタム プロパティを構成できます。プロパティは、PropertyAccess コンポーネントを使用してユーザー オブジェクトから取得されます (たとえば、getUpdatedAt() を使用するか、updatedAt を使用する場合は public $updatedAt プロパティを使用します)。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
10
11
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            remember_me:
                secret: '%kernel.secret%'
                # ...
                signature_properties: ['password', 'updatedAt']

In this example, the remember me cookie will no longer be considered valid if the updatedAt, password or user identifier for this user changes.

この例では、このユーザーの updatedAt、パスワード、またはユーザー ID が変更されると、remember me cookie は有効と見なされなくなります。

Tip

ヒント

Signature properties allow for some advanced usages without having to set-up storage for all remember me tokens. For instance, you can add a forceReloginAt field to your user and to the signature properties. This way, you can invalidate all remember me tokens from a user by changing this timestamp.

署名プロパティを使用すると、すべての記憶トークン用にストレージをセットアップする必要なく、いくつかの高度な使用が可能になります。たとえば、forceReloginAt フィールドをユーザーと署名プロパティに追加できます。このようにして、このタイムスタンプを変更することで、ユーザーからのすべての記憶トークンを無効にすることができます。

Storing Remember Me Tokens in the Database

As remember me tokens are often long-lived, you might prefer to save them in a database to have full control over them. Symfony comes with support for persistent remember me tokens.

Remember me トークンは多くの場合、有効期間が長いため、完全に制御できるようにデータベースに保存することをお勧めします。 symfony には永続的な「remember me」トークンのサポートが付属しています。

This implementation uses a remember me token provider for storing and retrieving the tokens from the database. The DoctrineBridge provides a token provider using Doctrine.

この実装では、remember me トークン プロバイダーを使用して、データベースからトークンを格納および取得します。 DoctrineBridge は、Doctrine を使用してトークン プロバイダーを提供します。

You can enable the doctrine token provider using the doctrine setting:

doctrine 設定を使用して doctrine トークン プロバイダーを有効にできます。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
10
11
12
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            remember_me:
                secret: '%kernel.secret%'
                # ...
                token_provider:
                    doctrine: true

This also instructs Doctrine to create a table for the remember me tokens. If you use the DoctrineMigrationsBundle, you can create a new migration for this:

これはまた、Doctrine に、remember me トークン用のテーブルを作成するように指示します。DoctrineMigrationsBundle を使用する場合、このための新しい移行を作成できます。
1
2
3
4
$ php bin/console doctrine:migrations:diff

# and optionally run the migrations locally
$ php bin/console doctrine:migrations:migrate

Otherwise, you can use the doctrine:schema:update command:

それ以外の場合は、 doctrine:schema:update コマンドを使用できます:
1
2
3
4
5
# get the required SQL code
$ php bin/console doctrine:schema:update --dump-sql

# run the SQL in your DB client, or let the command run it for you
$ php bin/console doctrine:schema:update --force

Implementing a Custom Token Provider

You can also create a custom token provider by creating a class that implements TokenProviderInterface.

TokenProviderInterface を実装するクラスを作成して、カスタム トークン プロバイダーを作成することもできます。

Then, configure the service ID of your custom token provider as service:

次に、カスタム トークン プロバイダーのサービス ID をサービスとして構成します。
  • YAML
    YAML
  • XML
    XML
  • PHP
    PHP
1
2
3
4
5
6
7
8
9
10
11
# config/packages/security.yaml
security:
    # ...

    firewalls:
        main:
            # ...
            remember_me:
                # ...
                token_provider:
                    service: App\Security\RememberMe\CustomTokenProvider

Forcing the User to Re-Authenticate before Accessing certain Resources

When the user returns to your site, they are authenticated automatically based on the information stored in the remember me cookie. This allows the user to access protected resources as if the user had actually authenticated upon visiting the site.

ユーザーがサイトに戻ると、remember me cookie に保存されている情報に基づいて自動的に認証されます。これにより、ユーザーは、サイトにアクセスしたときに実際に認証されたかのように、保護されたリソースにアクセスできます。

In some cases, however, you may want to force the user to actually re-authenticate before accessing certain resources. For example, you might not allow "remember me" users to change their password. You can do this by leveraging a few special "attributes":

ただし、場合によっては、特定のリソースにアクセスする前に、ユーザーに実際に再認証を強制したい場合があります。たとえば、「remember me」ユーザーがパスワードを変更することを許可しない場合があります。これを行うには、いくつかの特別な「属性」を活用します。
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
// src/Controller/AccountController.php
// ...

public function accountInfo(): Response
{
    // allow any authenticated user - we don't care if they just
    // logged in, or are logged in via a remember me cookie
    $this->denyAccessUnlessGranted('IS_AUTHENTICATED_REMEMBERED');

    // ...
}

public function resetPassword(): Response
{
    // require the user to log in during *this* session
    // if they were only logged in via a remember me cookie, they
    // will be redirected to the login page
    $this->denyAccessUnlessGranted('IS_AUTHENTICATED_FULLY');

    // ...
}

Tip

ヒント

There is also a IS_REMEMBERED attribute that grants access only when the user is authenticated via the remember me mechanism.

ユーザーが記憶メカニズムによって認証された場合にのみアクセスを許可する IS_REMEMBERED 属性もあります。

The remember_me configuration contains many options to customize the cookie created by the system:

remember_me 構成には、システムによって作成された Cookie をカスタマイズするための多くのオプションが含まれています。
name (default value: REMEMBERME)
The name of the cookie used to keep the user logged in. If you enable the remember_me feature in several firewalls of the same application, make sure to choose a different name for the cookie of each firewall. Otherwise, you'll face lots of security related problems.
ユーザーのログイン状態を維持するために使用される Cookie の名前。同じアプリケーションの複数のファイアウォールでremember_me 機能を有効にする場合は、各ファイアウォールの Cookie に異なる名前を選択してください。そうしないと、多くのセキュリティ関連の問題に直面することになります。
lifetime (default value: 31536000 i.e. 1 year in seconds)
The number of seconds after which the cookie will be expired. This defines the maximum time between two visits for the user to remain authenticated.
Cookie の有効期限が切れるまでの秒数。これは、ユーザーが認証されたままになるための 2 回のアクセス間の最大時間を定義します。
path (default value: /)
The path where the cookie associated with this feature is used. By default the cookie will be applied to the entire website but you can restrict to a specific section (e.g. /forum, /admin).
この機能に関連付けられた Cookie が使用されるパス。デフォルトでは、Cookie は Web サイト全体に適用されますが、特定のセクション (/forum、/admin など) に制限することができます。
domain (default value: null)
The domain where the cookie associated with this feature is used. By default cookies use the current domain obtained from $_SERVER.
この機能に関連付けられた Cookie が使用されるドメイン。デフォルトでは、Cookie は $_SERVER から取得した現在のドメインを使用します。
secure (default value: false)
If true, the cookie associated with this feature is sent to the user through an HTTPS secure connection.
true の場合、この機能に関連付けられた Cookie が HTTPS セキュア接続を介してユーザーに送信されます。
httponly (default value: true)
If true, the cookie associated with this feature is accessible only through the HTTP protocol. This means that the cookie won't be accessible by scripting languages, such as JavaScript.
true の場合、この機能に関連付けられた Cookie には、HTTP プロトコルを介してのみアクセスできます。これは、JavaScript などのスクリプト言語から Cookie にアクセスできないことを意味します。
samesite (default value: null)
If set to strict, the cookie associated with this feature will not be sent along with cross-site requests, even when following a regular link.
厳密に設定すると、通常のリンクをたどった場合でも、この機能に関連付けられた Cookie はクロスサイト リクエストとともに送信されません。