Q&A
JWTはパスワードは必要ないですよ。
低質なサイトだとJWTにパスワード入れてますが、
ヘッダー部・入力部・照明部
となっており入力部は誰でも複合可能(base64だったけ)なのでパスワードいれたら流出します。
前提、実現したいこと
laravelのアプリケーションで一部非同期通信でユーザを取得したい。
フロントはvueでaxiosを使っています。
内容としては、crudのように作成、更新、削除等を行っています。
そこで、そのユーザに更新、削除権限があるか調べたいので、ユーザを取得したいです。
認証はlaravelのデフォルトの認証とGoogle認証を使用しています。
詳しめに書くと
ログイン中のユーザがリンクを踏んだら
リンク先のコントローラでトークンを発行して
リンク先のviewでvueにトークンを渡して
ユーザがそのページで更新等をしたら、データをaxiosでcontrollerに送信して
コントローラでuserを取得して、そのユーザにそのデータに対しての更新権限があるかを確認して、データの変更を行うかを判断したい
試したこと
jwtを使ってみたのですが、Google認証をしているユーザだと、passwordがランダムに設定されているため、使用できないかなと思いました。
Passportを使ってみたのですが、こちらもpasswordが必要なのと、アカウント作成時にclientをuserに結び付ける方法がわからなかったので質問させていただきました。
参考にしたサイト
回答して欲しいこと
何を使ってもいいので、安全にシンプルに上記の実現したい機能を作成する方法を教えてください。
回答ありがとうございます。
ネットでいくつかのサイトをみてみたのですが、
どこのサイトでもトークンを生成するときに
$token = auth('api')->attempt(['email' => $request->email, 'password' => $request->password]);
のようにemailとpasswordを使っているようなのですが、emailとpasswordを使わなくてもトークンを発行できるのでしょうか?
発行したJWTにはパスワードを入れなくて良い
って意味では?
>ネットでいくつかのサイトをみてみたのですが
参考した先が本当に参考になるかどうかはその記事URL提示していただかないとこちらも判断できませんので、質問本文に参照先を追記してください
細かくて申し訳ないですが、マークダウンでリンクにしてもらえればと。
(URLコピーしてって結構手間なのです・・・)
すみません。
直しました!
回答1件
0
ベストアンサー
Google認証をしているユーザだと、passwordがランダムに設定されているため、使用できないかなと思いました。
jwtが発行されている時点で、そのjwtに書き込まれた情報は正しい(署名)されているので、パスワードは関係ありません。
Google認証(Sociliate)された時点で認証済みとなると思います
アカウント作成時にclientをuserに結び付ける方法がわからなかったので質問させていただきました。
ここでいうclientは、ユーザー毎ではなく、開発者毎に発行するもの、と考えると理解しやすいかと思います。
FacebookとかTwitteとかGithubでも同様で、全てのユーザに発行するのではなく、開発者、アプリ毎に発行し、開発者に対して管理権限を渡すために、ユーザIDを指定しています。
サードパーティにAPIを提供するわけではないのなら、1個だけ自分用にclientを発行すれば良いだけとなります。
投稿2020/01/03 07:23
総合スコア5036
回答ありがとうございます!
手探り状態でやっているため、見当違いなことを言っていたらすみません。
jwtの発行というのはトークンを生成するということでしょうか?
passportはユーザの認証に使うものではなく、管理者であるかを判断するものということでしょうか?
それとも、clientは管理者だけでよく、一般のユーザの認証にはclientに登録することなく認証ができるということでしょうか?
いくつも質問してしまいすみません。
とりあえず、やりたいこととしては
ユーザがPostを作成して
そのPostに対して編集、削除ができるのは作成したユーザのみ
というものです。
どのようなやり方がオーソドックスなのでしょうか?
追加の質問を一旦無視します。すみません
まず、GithubでログインやFacebookでログインのようなOAuthログインについては理解されているでしょうか?
OAuthログインを提供するためのライブラリがPassportです。
OAuthを第三者(私たち外部のプログラマ)が利用するためにシークレットトークンを発行してもらいますがこの部分がPassportのclientです。
> ユーザがPostを作成して
> そのPostに対して編集、削除ができるのは作成したユーザのみ
これについては、jwtもpassportも関係ありません、
jwtとpassportが認証と呼ばれる分野のもの(ログインとかユーザー識別)で
> そのPostに対して編集、削除ができるのは作成したユーザのみ
は認可(操作を許可する、拒否する)と呼ばれる分野です。
これは、LaravelでやるならPolicyで制御するのが一般的かと思います
> OAuthを第三者(私たち外部のプログラマ)が利用するためにシークレットトークンを発行してもらいますがこの部分がPassportのclientです。
そうだったんですね!
勘違いしてました!
> これは、LaravelでやるならPolicyで制御するのが一般的かと思います
PolicyだとUserが必要だったと思います。
そのUserを取得したいのですが、普通にuser_idをvueからaxiosで持ってくるとするとuser_idを書き換えるだけでなりすましができてしまうと思います。
そこで認証時にトークンを生成して、そのトークンを用いることでなりすましを防ぐことができるかなと考え、
JWTや passportを使用すればトークンを発行できると知り、
やってみようとしたところ、jwtはトークンを生成するときにpasswordとemailを使っているようだったので、
Google認証でユーザ登録した人にはpasswordとemailがないので、どのようにすれば良いのかがわからず、今回の質問をさせていただきました。
質問が戻ってしまい悪いのですが、apiでUserを取得するにはどのようにすれば良いのでしょうか?
また見当違いなことを書いていたらすみません。
> JWTや passportを使用すればトークンを発行できると知り、
> やってみようとしたところ、jwtはトークンを生成するときにpasswordとemailを使っているようだったので、
初回にトークンを発行するにはログイン情報が必要なので
少なくとも1回目はpasswordが必要です。認証するためです。
> Google認証でユーザ登録した人にはpasswordとemailがない
passwordとemailがなくても、google認証されている時点で特定のUserとして紐づいているはずです。
email/password、Google、どちらも認証を行います。
JWTは、認証された後の、ログインの維持のため(セッション)に使用されますのでそこを切り分けて考えてみてはどうでしょうか?
https://jwt-auth.readthedocs.io/en/develop/auth-guard/#login
参考までにユーザも出るからトークン作成する方法です
ありがとうございます!
laravelのデフォルトのログイン方法でログインしてから、
トークンを生成するために
$user = $request->user();
$token = auth()->login($user);
として、$tokenの中身を見てみるとnullとなっていて、トークンが生成されませんでした。
$userの中身を見てみると、remember_tokenの値がnullとなっていました。
ログイン時にUserモデルからtokenを生成してを生成して、
リンクを飛んだ後もtokenからUserを取得したいので、auth()->login($user)でトークンが生成できるならよかったのですが、何かやり方が違うのでしょうか?
何度も質問をしてしまってすみません!
ありがとうございます!
無事、トークンを生成することができました!
トークンからユーザを持ってくることも成功しました!
何度も助言をいただき、本当にありがとうございました!
あなたの回答
tips
プレビュー
