質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

ただいまの
回答率

90.34%

  • PHP

    21267questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Laravel

    707questions

    LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

  • セキュリティー

    476questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。

2サイト間のログイン情報の共有

解決済

回答 3

投稿

  • 評価
  • クリップ 11
  • VIEW 1,830

hh_t

score 27

site1でログインした際にsite2でもログインされている状態にしたいです。
site1.example.com(shopify)
site2.example.com(laravel)

site1はshopifyで構築されており、liquidというテンプレートエンジンが使用できますが機能が限定的です。
https://help.shopify.com/en/themes/liquid/filters/string-filters
バッググラウンドでできることはハッシュ化程度しかできず、良い方法がないかと模索しています。

以下の方法だと上記機能が達成できるのですが、セキュリティ上問題ないか意見をいただければと思います。

site1で事前に作成された固定の文字列(シークレットキー)とuser_idを文字列連結してハッシュ化 (ここまではliqidテンプレートを使用し内部で行えます)
上記で作成したハッシュとuser_idを下記のようにリクエストヘッダーとしてajaxでpostしてsite2にアクセス

{
"hash" : "feimc9asdfje",
"user_id": "1"
}

site2で受け取ったuser_idと、シークレットキーを同様に連結しハッシュ化。作成されたハッシュと受け取ったハッシュが同じなら受け取ったuser_idを使用しログイン
Auth::loginUsingId()

以上です。よろしくお願いいたします。

  • 気になる質問をクリップする

    クリップした質問は、後からいつでもマイページで確認できます。

    またクリップした質問に回答があった際、通知やメールを受け取ることができます。

    クリップを取り消します

  • 良い質問の評価を上げる

    以下のような質問は評価を上げましょう

    • 質問内容が明確
    • 自分も答えを知りたい
    • 質問者以外のユーザにも役立つ

    評価が高い質問は、TOPページの「注目」タブのフィードに表示されやすくなります。

    質問の評価を上げたことを取り消します

  • 評価を下げられる数の上限に達しました

    評価を下げることができません

    • 1日5回まで評価を下げられます
    • 1日に1ユーザに対して2回まで評価を下げられます

    質問の評価を下げる

    teratailでは下記のような質問を「具体的に困っていることがない質問」、「サイトポリシーに違反する質問」と定義し、推奨していません。

    • プログラミングに関係のない質問
    • やってほしいことだけを記載した丸投げの質問
    • 問題・課題が含まれていない質問
    • 意図的に内容が抹消された質問
    • 広告と受け取られるような投稿

    評価が下がると、TOPページの「アクティブ」「注目」タブのフィードに表示されにくくなります。

    質問の評価を下げたことを取り消します

    この機能は開放されていません

    評価を下げる条件を満たしてません

    評価を下げる理由を選択してください

    詳細な説明はこちら

    上記に当てはまらず、質問内容が明確になっていない質問には「情報の追加・修正依頼」機能からコメントをしてください。

    質問の評価を下げる機能の利用条件

    この機能を利用するためには、以下の事項を行う必要があります。

回答 3

checkベストアンサー

+10

興味深い問題ですね。以下の式でユーザID(内部IDかな?)とシークレットキーを連結したものからハッシュ値を求めるわけです。以下、このハッシュ値を「トークン」と呼ぶことにします。

token = hash(id . secret_key)

idは連番なので推測可能として、最終的に第三者のトークンが分かれば、なりすましログインができるわけですね。

まず、攻撃者は自分自身のidとトークンは分かりますから、そこから他者のトークンあるいはシークレットキーが分かれば成りすましできるわけですが…

  • 自分のトークンから、シークレットキーを知らない状態で第三者のトークンを推測できるか?
    暗号論的に安全なハッシュ関数であれば推測はできません

  • 自分のIDとトークンからシークレットキーが推測・算出できるか?
    暗号論的に安全なハッシュ関数を用いていれば、この算出には総当たりしかありませんが、シークレットキーの長さが十分長ければ現実的には不可能です。

…ということで大丈夫なように見えますが、もう少し検討が必要です。それは、なんらかの理由でtokenあるいはシークレットキーが漏えいした場合に、一般的な方法と比べて強度が落ちないかという観点です。

まず、tokenが漏えいした場合、第三者のtokenを入手した攻撃者は永続的になりすましができます。一方、通常のセッションIDの場合、通常有効期限を設けますから、永続的ななりすましはできません。

次に、サーバーからシークレットキーが漏えいした場合です。この場合、攻撃者は任意のユーザーになりすましができます。一方、通常のパスワード認証の場合、これに相当するのはパスワード情報が漏えいしたケースですが、ソルトやストレッチングでパスワードが保護されている場合、ただちになりすましはできないですし、時間を掛けて平文パスワードを求めた場合でも、一度に全員のパスワードが分かるわけではなく、ユーザごとに時間を掛けてパスワードを求める必要があります。

なので、トークンやシークレットキーが漏えいした場合のコントロールが、通常のパスワード認証等にくらべて弱いということになります。

これらの課題に対する改善案ですが、トークンについては有効期限を設ける方法が考えられます。実装はご自身で考えてみてください。
シークレットキーの漏えいについては良い案が浮かびません。ここを改善できない限り、致命的にだめとまでは言えませんが、現在の通常要求される水準は満たしていないということになります。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/07/24 18:57

    ありがとうございます。
    欲しい情報ばっちりで、とても参考になりました。

    キャンセル

+1

それだとシークレットキーが特定された場合に、site2 ですべてのアカウントにパスワードなしでログインできるようになり、危険なのではないかと思います。

同一ドメインならセッションと Cookie を使う方法もあると思いますが、セキュリティリスクへの対策を怠ったり間違うとセッションハイジャックされる危険性が高まるので実装には注意が必要です。

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

  • 2018/07/23 16:35

    回答ありがとうございます。
    liquidの仕様上session、cookieをサーバーサイドで設定することができません。
    シークレットキーが特定された場合とありますが、ハッシュから複合するのは現実的に不可能かと考えています。
    以上の理由から問題ないかと考えていますがいかがでしょうか?

    キャンセル

  • 2018/07/23 16:39

    復号はハッシュ関数次第ですが、サーバー間の通信の盗聴や総当たり攻撃などで特定される場合があると思います。

    キャンセル

0

JWTで有効期限をつけてtoken発行するってぐらいでしょうか。
secret keyは定期的にrotateさせれば少しは強度あがると思われます。
どうrotateさせるかは悩ましいですが…

投稿

  • 回答の評価を上げる

    以下のような回答は評価を上げましょう

    • 正しい回答
    • わかりやすい回答
    • ためになる回答

    評価が高い回答ほどページの上位に表示されます。

  • 回答の評価を下げる

    下記のような回答は推奨されていません。

    • 間違っている回答
    • 質問の回答になっていない投稿
    • スパムや攻撃的な表現を用いた投稿

    評価を下げる際はその理由を明確に伝え、適切な回答に修正してもらいましょう。

同じタグがついた質問を見る

  • PHP

    21267questions

    PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

  • Laravel

    707questions

    LaravelとはTaylor Otwellによって開発された、オープンソースなPHPフレームワークです。Laravelはシンプルで表現的なシンタックスを持ち合わせており、ウェブアプリケーション開発の手助けをしてくれます。

  • セキュリティー

    476questions

    このタグは、コンピューターシステムの安全性やデータの機密性に関連したトピックの為に使われます。