2サイト間のログイン情報の共有

site1でログインした際にsite2でもログインされている状態にしたいです。
site1.example.com(shopify)
site2.example.com(laravel)

site1はshopifyで構築されており、liquidというテンプレートエンジンが使用できますが機能が限定的です。
https://help.shopify.com/en/themes/liquid/filters/string-filters
バッググラウンドでできることはハッシュ化程度しかできず、良い方法がないかと模索しています。

以下の方法だと上記機能が達成できるのですが、セキュリティ上問題ないか意見をいただければと思います。

site1で事前に作成された固定の文字列(シークレットキー)とuser_idを文字列連結してハッシュ化 (ここまではliqidテンプレートを使用し内部で行えます)
上記で作成したハッシュとuser_idを下記のようにリクエストヘッダーとしてajaxでpostしてsite2にアクセス

{
"hash" : "feimc9asdfje",
"user_id": "1"
}

site2で受け取ったuser_idと、シークレットキーを同様に連結しハッシュ化。作成されたハッシュと受け取ったハッシュが同じなら受け取ったuser_idを使用しログイン
Auth::loginUsingId()

以上です。よろしくお願いいたします。

行動規範の内容に同意します

回答3件

ベストアンサー

興味深い問題ですね。以下の式でユーザID（内部IDかな?）とシークレットキーを連結したものからハッシュ値を求めるわけです。以下、このハッシュ値を「トークン」と呼ぶことにします。

token = hash(id . secret_key)

idは連番なので推測可能として、最終的に第三者のトークンが分かれば、なりすましログインができるわけですね。

まず、攻撃者は自分自身のidとトークンは分かりますから、そこから他者のトークンあるいはシークレットキーが分かれば成りすましできるわけですが…

自分のトークンから、シークレットキーを知らない状態で第三者のトークンを推測できるか?

　暗号論的に安全なハッシュ関数であれば推測はできません

自分のIDとトークンからシークレットキーが推測・算出できるか?

　暗号論的に安全なハッシュ関数を用いていれば、この算出には総当たりしかありませんが、シークレットキーの長さが十分長ければ現実的には不可能です。

…ということで大丈夫なように見えますが、もう少し検討が必要です。それは、なんらかの理由でtokenあるいはシークレットキーが漏えいした場合に、一般的な方法と比べて強度が落ちないかという観点です。

まず、tokenが漏えいした場合、第三者のtokenを入手した攻撃者は永続的になりすましができます。一方、通常のセッションIDの場合、通常有効期限を設けますから、永続的ななりすましはできません。

次に、サーバーからシークレットキーが漏えいした場合です。この場合、攻撃者は任意のユーザーになりすましができます。一方、通常のパスワード認証の場合、これに相当するのはパスワード情報が漏えいしたケースですが、ソルトやストレッチングでパスワードが保護されている場合、ただちになりすましはできないですし、時間を掛けて平文パスワードを求めた場合でも、一度に全員のパスワードが分かるわけではなく、ユーザごとに時間を掛けてパスワードを求める必要があります。

なので、トークンやシークレットキーが漏えいした場合のコントロールが、通常のパスワード認証等にくらべて弱いということになります。

これらの課題に対する改善案ですが、トークンについては有効期限を設ける方法が考えられます。実装はご自身で考えてみてください。
シークレットキーの漏えいについては良い案が浮かびません。ここを改善できない限り、致命的にだめとまでは言えませんが、現在の通常要求される水準は満たしていないということになります。

投稿2018/07/23 14:56