CodeIgniterでセッションを使ったログイン管理！Webアプリのセキュリティ対策

CodeIgniterでセッションを使ったログイン管理を行う方法

先生と生徒の会話形式で理解しよう

生徒

「Webサイトを作るときに、ログインした人だけが見られるページを作りたいのですが、どうすればいいですか？」

先生

「それには『セッション』という仕組みを使って、ログイン中かどうかを管理する必要があります。PHPのフレームワークであるCodeIgniterを使えば、とても安全に作れますよ。」

生徒

「セッション……？難しそうですね。初心者でも実装できますか？」

先生

「大丈夫です！まずは基本の仕組みから、具体的なプログラミングの書き方まで順番に解説していきますね。」

1. セッションとログイン管理の仕組みを知ろう

Webアプリ開発において、特定のユーザーが「今、誰としてアクセスしているのか」を判別することは非常に重要です。これを実現するのが「セッション（Session）」という技術です。通常、インターネットの世界は、一度ページを表示するとその瞬間にサーバーとの接続が切れてしまう「一期一会」のような性質を持っています。しかし、セッションを使うことで、ページを移動しても「この人はログイン済みの田中さんだ」という情報をサーバー側で保持し続けることができるようになります。

CodeIgniter（コードイグナイター）というPHPのフレームワークを使うと、この複雑なセッション管理をとても簡単に、かつ安全に扱うことができます。「フレームワーク」とは、よく使う機能をあらかじめセットにしてくれている「料理のキット」のようなものだと考えてください。これを使うことで、セキュリティの高いログイン機能を効率よく作ることができます。

2. セッションライブラリの読み込みと設定

CodeIgniterでセッション機能を使うには、まず「セッションを使いますよ」という宣言が必要です。これをライブラリの読み込みと呼びます。また、セキュリティを高めるために、設定ファイル（App.phpなど）で「セッションの保存場所」や「暗号化キー」を適切に設定することが推奨されます。

初心者の方向けに説明すると、「暗号化」とは、情報を合言葉のような複雑な文字列に変換して、万が一盗まれても中身が分からないようにする技術のことです。CodeIgniterでは、セッションデータを安全に扱うための仕組みが標準で備わっています。まずはコントローラーという、プログラムの司令塔となるファイルでセッションを起動してみましょう。


// セッションサービスを開始する例
$session = \Config\Services::session();

// セッションに「ログイン済み」という情報を保存する
$session->set('is_logged_in', true);
$session->set('user_name', 'タロウ');

上記のコードでは、setという命令を使って、ユーザーの名前やログイン状態をサーバーの記憶装置に保存しています。これで、別のページに移動しても「タロウさんはログイン中」という情報を引き出すことが可能になります。

3. ログイン画面（View）の作成

ユーザーがIDやパスワードを入力する画面を作ります。これを「View（ビュー）」と呼びます。Viewは、皆さんがブラウザで目にする「見た目」の部分です。ここでは、メールアドレスとパスワードを入力するフォーム（入力欄）を作成します。ここで大切なのは、入力された情報を安全にサーバーへ送ることです。

CodeIgniterでは、「CSRF対策」というセキュリティ機能が非常に強力です。これは、悪意のある第三者が勝手にログインボタンを押させるような攻撃を防ぐためのものです。フォームの中に専用の「隠し合言葉」を埋め込むことで、正当な画面からの送信であることを証明します。


<!-- ログインフォームの例 -->
<form action="/login/authenticate" method="post">
    <!-- セキュリティのための隠しコード（CSRF対策） -->
    <input type="hidden" name="" value="">
    
    <label>メールアドレス</label>
    <input type="email" name="email" required>
    
    <label>パスワード</label>
    <input type="password" name="password" required>
    
    <button type="submit">ログイン</button>
</form>

4. 認証処理とパスワードの安全な扱い

ユーザーが送信ボタンを押した後、サーバー側で「入力された情報は正しいか？」を確認する作業を「認証（Authentication）」と言います。ここで絶対にやってはいけないのが、パスワードをそのままの文字（プレーンテキスト）で保存したり比較したりすることです。万が一データが漏洩したとき、生のパスワードが分かってしまうと大変危険です。

そこで使うのが「ハッシュ化」です。ハッシュ化とは、一度変換すると元の文字に戻すことができない複雑な暗号のようなものです。PHPにはpassword_hashやpassword_verifyという便利な関数があり、これを使って入力されたパスワードが正しいかを安全にチェックします。CodeIgniterでの基本的な認証の流れは以下のようになります。


// 入力されたパスワードと、データベースに保存されているハッシュ化されたパスワードを比較
$passwordInput = $this->request->getPost('password');
$hashedPasswordInDB = '$2y$10$Abc...'; // DBから取得したハッシュ

if (password_verify($passwordInput, $hashedPasswordInDB)) {
    // 一致した場合、セッションにユーザー情報を入れる
    $this->session->set('user_id', 123);
    return redirect()->to('/dashboard');
} else {
    // 不一致の場合はエラーメッセージを出す
    return redirect()->back()->with('error', 'ログインに失敗しました');
}

5. ログイン済みかチェックするガード機能

ログインした後の「会員専用ページ」では、必ず「この人は本当にログインしているか？」を確認しなければなりません。ログインしていない人が直接URLを入力してアクセスしてきた場合、ログイン画面に追い返す（リダイレクトする）必要があります。これを「アクセス制御」や「認証ガード」と呼びます。

CodeIgniterでは「フィルター」という機能を使って、ページが表示される直前にチェックをかけることができます。しかし、まずは基本的なコントローラー内でのチェック方法を覚えましょう。セッションに保存した「ログイン情報」が存在するかどうかを確認するだけのシンプルな処理です。


// ログイン状態をチェックするコード
public function dashboard() {
    $session = session();
    
    if (!$session->get('is_logged_in')) {
        // ログインしていなければログイン画面へ
        return redirect()->to('/login');
    }
    
    echo "ようこそ、" . $session->get('user_name') . "さん！";
}

実行結果のイメージは以下のようになります。


ようこそ、タロウさん！

6. ログアウト処理とセッションの破棄

ログインがあるなら、必ず「ログアウト」も必要です。ログアウトとは、サーバーに保存されているセッションデータを消去し、ユーザーを「未ログイン状態」に戻す作業のことです。これを忘れると、共用のパソコンなどで次に使った人が、前の人のアカウントを操作できてしまう「セッションハイジャック」などのリスクが生じます。

ログアウトの処理は非常に簡単で、セッションのdestroy（デストロイ）という命令を実行するだけです。これにより、サーバー上のセッションデータが完全に削除され、安全に終了することができます。終わった後は、トップページやログイン画面に案内してあげると親切ですね。


// ログアウト処理の例
public function logout() {
    $session = session();
    // セッションデータを全て消去する
    $session->destroy();
    return redirect()->to('/login');
}

7. セキュリティをさらに高めるためのポイント

ログイン機能が完成しても、油断は禁物です。Webの世界にはさまざまな攻撃手法が存在します。CodeIgniterを使っていれば、多くの一般的な攻撃（SQLインジェクションやXSSなど）は自動的に防いでくれますが、開発者自身も意識しておくべきことがあります。

例えば、「セッション固定攻撃」への対策です。これは、犯人があらかじめ用意したセッションIDをユーザーに使わせる攻撃です。これを防ぐために、ログインが成功した瞬間にセッションIDを新しく作り直す（再生成する）ことが推奨されます。CodeIgniterではregenerateというメソッドを使うだけで、この対策が完了します。こうした小さな積み重ねが、ユーザーの大切な個人情報を守ることにつながります。

8. 初心者がハマりやすいトラブル解決

プログラミングの学習を始めたばかりのとき、最初につまずくのは「なぜかセッションが消えてしまう」「ログインしたはずなのに反映されない」といった問題です。多くの原因は、ブラウザの「Cookie（クッキー）」の設定や、サーバーのフォルダ権限にあります。

Cookieとは、ブラウザ（ChromeやSafariなど）側で一時的に情報を保存する小さなメモ書きのようなものです。セッションは、サーバーにある大きなノートと、ブラウザにある小さなメモ（セッションID）を照らし合わせることで機能します。もしブラウザがメモを受け取らない設定になっていたり、サーバーの書き込み権限がなかったりすると、セッションは動きません。まずは「設定ファイル」を見直し、マニュアル通りに進めることが、エラーを解決する一番の近道です。焦らず一つずつ確認していきましょう。

公的機関での指導実績【CodeIgniterモダン開発実践セミナー】

商用CodeIgniter 4 徹底実践講座：軽量MVCによる高速開発とシステムのモダナイゼーション

#商用設計 #APIアーキテクチャ #市場価値最大化

ハローワーク職業訓練講師の実績を持つプロが監修。商用PHP開発の「現場の作法」を完全伝授。

「極限のパフォーマンス」を実装する。CodeIgniter 4で軽量・高速な商用システムを構築。

本講座では、フレームワークのオーバーヘッドを最小限に抑えた「高レスポンスなWebアプリケーション設計」を学びます。シンプルながら強力なCodeIgniter 4を通じ、既存システムのPHP 8.x対応や、リソース効率を極めたAPI開発など、実務で重宝される最適化技術を習得します。