ログイン／パスワード再発行

対応する画面： auth/login.php（ログイン／初期セットアップ）、 auth/forgot_password.php（再発行リクエスト）、 auth/reset_password.php（再設定）、 auth/logout.php（ログアウト）。

ログイン（通常時）

1. 配置先 URL（Basic 認証通過後）に auth/login.php が表示されます。
2. 登録済みのメールアドレスとパスワードを入力 → 「ログイン」。
3. 認証成功時はセッションを作り直して pages/dashboard.php へ遷移。プロダクト管理者の場合は許可された最初のページ（通常は urls.php）に遷移します。
4. 認証失敗時は「メールアドレスまたはパスワードが正しくありません。」というメッセージで再入力を促します。

初期セットアップ（ユーザー数 0 件の場合）

新規にクヌギスキーマを設置した直後、まだユーザーが 1 件もない状態でログイン画面を開くと、自動的に「初期セットアップ」モードに切り替わります（画面タイトルが「ログイン」から「初期セットアップ」に変わります）。

1. 任意のメールアドレスとパスワード（8 文字以上）を入力 → 「管理者を作成してログイン」。
2. 作成されたアカウントは強制的に「システム管理者（admin）」になります。
3. そのままセッションがログイン状態になり、ダッシュボードに遷移します。

セッションとログアウト

• セッション名は SCHEMACHECKER_SID です。Cookie 属性は HttpOnly + SameSite=Lax で、HTTPS 経由ならさらに Secure も付きます（X-Forwarded-Proto: https も判定対象）。
• 「ログアウト」リンクは画面右上に常に表示されます。クリックで auth/logout.php に遷移し、セッション破棄 → ログイン画面へ戻ります。
• 長時間操作が無くてもサーバ側のセッション期限が来るまではログイン状態が維持されます。共有 PC で使う場合は明示的にログアウトしてください。

パスワード再発行（メール経由）

パスワードを忘れた場合、ログイン画面の「パスワードをお忘れの方はこちら」から再発行フローを開始できます。

1. auth/forgot_password.php でメールアドレスを入力 → 「再発行リンクを送る」。
2. 登録済みアドレスの場合のみ、ワンタイムリンク（例: auth/reset_password.php?token=<ランダム文字列>）が記載されたメールが送信されます。未登録アドレスでも画面の挙動は同じ（メールアドレス存在の有無が外から判別できないようにするため）。
3. 受信したメールのリンクを有効期限内に開く → 新しいパスワードを 2 回入力 → 「パスワードを再設定」。
4. 更新後は自動的にログイン画面に戻ります。新パスワードで再ログインしてください。

トークンの仕組み

• 生成時に十分長いランダム文字列を作り、SHA-256 ハッシュだけを password_reset_tokens に保存します。生のトークンは DB に残らない設計です。
• 1 トークンにつき 1 回だけ使用可。使うと used_at に日時が記録されます。
• 有効期限を過ぎたトークンは（リンクをクリックしても）無効と判定されます。詳細は src/PasswordReset.php を参照。
• 1 ユーザーにつき複数のトークンが同時に有効化される設計です。最新のリンクを使ってください。

メールが届かない場合の対処

1. 受信箱の迷惑メールフォルダを確認。送信元ドメインの SPF / DKIM が未設定だと Gmail などで迷惑判定されやすいです。
2. サーバ側で mail() が利用可能になっているか確認。Xserver 等の共用レンタルサーバでは標準で利用可能ですが、独自 VPS / クラウドでは postfix や sendmail の設定が必要です。
3. それでも届かない場合、システム管理者が アカウント管理 画面から直接パスワードを書き換えてしまうのが確実です（救済オペレーション）。