ログイン後にトップページではなく、元のページへ戻れるようにもする

[shhirose]

ref #831、 #1174 からの派生

ログインした際に、以下の条件で遷移先が決まるが、これにログインページへ遷移した元のページへ戻れるようにもする。

現在の仕様

1. <input type="hidden" name="_target_path" value="{遷移先}" />がformタグに含まれる場合は、その URL に遷移する
2. ログインページが表示された際の URL （ブラウザのURL）がurl('mypage_login')ではない場合は、その URL に遷移する
3. Firewall 設定にdefault_target_pathが設定されている場合は、その URL に遷移する
4. トップページに遷移する

※この他にも Firewall の設定でいろいろできるようだが省略

実装要件

• ログイン後に元のページ（ログイン画面へ遷移した元のページ）へリダイレクトする
• セキュリティを考慮する

セキュリティについては以下のとおり

@Yangsin
ただし、単純にリファラーを適用してそこへ遷移するとなると
別のサイトにログイン画面のリンクを貼られた場合、ログインを経由して別サイト画面に戻ってしまい、フィッシングなどの危険がありそうですので、リファラーのチェックや正規化を行うような処理が必要ではないかと思っています。

実装案

リファラーを使用する。
ただし、別サイトへ戻ってしまうようになるとフィッシングなどの危険があるため、ドメイン名、ポート番号、app.config.rootなどを使用して正しい遷移先かチェックする。正しくない場合はログインページへ戻る。

※現実的に実装できそうかも検討する余地がある

懸念事項

ref #961 の場合のようにリクエスト時の URL と Webサーバ到達時の URL に差異がある場合にどうするか。

[tao-s]

横からすいません。
リファラ見るってどうなんでしょう？
戻りたいページを表示した時とかにcookieとかに保存しておけば良くないですか？

[shhirose]

@tao-s
ご意見ありがとうございます。
戻りたいページが表示された際に Block か何かで Cookie に保存する処理を入れるようなイメージでしょうか？

[nanasess]

戻るの場合、以下の2パターンに分れると思います。

1. 戻りたいページを指定したい
2. 直前のページへ戻りたい

1 の場合は、指定したいページに到達した時点で判定できると思いますので、プログラム内で指定する。(本当はアノテーション等の宣言でやりたい)
2 の場合はリファラーを使用するか、本体側で直前の URL を保持する仕組みを作る

これらを、ヘッダ(例: X-Previous-url) に保持しておけば、ログイン時にかかわらず、汎用的に利用できそうです。

[nanasess]

1. ゲスト購入
2. 購入確認画面でログイン

という遷移をすると、 TOP ページに戻るため、再度カートから購入確認画面へ遷移するとログイン状態の受注情報となる。

しかし、ログイン後、直接購入確認画面に戻った場合、受注情報を初期化する必要があるため注意すること。
(おそらく、そのまま購入に進むとゲスト購入となってしまう)

[xuelian311]

#831 と同様の問題として、メジャーバージョンアップ時に対応検討します。