質問をすることでしか得られない、回答やアドバイスがある。

15分調べてもわからないことは、質問しよう!

新規登録して質問してみよう
ただいま回答率
85.50%
Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

Q&A

0回答

460閲覧

Nodejs + passport-facebook | stateパラメータによるCSRF対策およびセッションID

退会済みユーザー

退会済みユーザー

総合スコア0

Node.js

Node.jsとはGoogleのV8 JavaScriptエンジンを使用しているサーバーサイドのイベント駆動型プログラムです。

JavaScript

JavaScriptは、プログラミング言語のひとつです。ネットスケープコミュニケーションズで開発されました。 開発当初はLiveScriptと呼ばれていましたが、業務提携していたサン・マイクロシステムズが開発したJavaが脚光を浴びていたことから、JavaScriptと改名されました。 動きのあるWebページを作ることを目的に開発されたもので、主要なWebブラウザのほとんどに搭載されています。

0グッド

0クリップ

投稿2019/04/02 12:31

編集2022/01/12 10:55

やりたいこと

passport + passport-facebook + cookie-session
stateパラメーターによってCSRF対策をしたいです。
state自体をcookieに入れるのではなく、sessionIDのみを保存する方法で実現したいです。
(しかしsessionIDの取得方法や利用方法が分かってない...という状態です。)

現在の状態

passportpassport-facebookで、FB認証開発中です。

OAuth2.0はCSRF脆弱性があるので、stateパラメータで検証する必要があります。

参考 : Node.jsでFacebookのOAuth2.0認証

// 引用 router.get('/', (req, res, next) => { if (!req.session.state) { var random = Math.random().toString(); req.session.state = random } passport.authenticate('facebook', { state: req.session.state })(req, res, next); }); router.get('/callback', (req, res, next) => { if (!req.session.state) { return res.status(400).send({err: 'no state parameter'}); } // CSRF verification if (req.query.state !== req.session.state) { return res.status(400).send({err: 'invalid state parameter'}); } passport.authenticate('facebook', { failureRedirect: '/', successRedirect: '/me' })(req, res, next); }); module.exports = router;

困っていること

上記ではexpress-sessionを利用してますが、本番では使えません。

Warning The default server-side session storage, MemoryStore, is purposely not designed for a production environment. It will leak memory under most conditions, does not scale past a single process, and is meant for debugging and developing.(express-session

代わりにcookie-sessionを使い、
セキュリティの考慮し、stateでなくsessionIDcookieに入れる方法を模索してますが、
そもそもsessionIDがどのように取れるかドキュメントから掴めませんでした。

router.get('/', (req, res, next) => { if(!req.session.state) { const random = Math.random().toString(); req.session.state = random; } passport.authenticate('facebook', { scope: ['email'], state: req.session.state, })(req,res,next); }; router.get('/callback', (req, res, next) => { if (!req.session.state) { return res.status(400).send({err: 'no state parameter'}); } // CSRF verification if (req.query.state !== req.session.state) { return res.status(400).send({err: 'invalid state parameter'}); } passport.authenticate('facebook', { failureRedirect: '/', successRedirect: '/me' })(req, res, next); res.redirect(`/facebook/signin?*********`); };

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

まだ回答がついていません

会員登録して回答してみよう

アカウントをお持ちの方は

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.50%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問