Q&A
ハッシュ化はサーバー側でやらないと意味ないような…。
実現したいこと
XAMPPを使って公開しているWebサーバにあるユーザ情報を使って、スマホアプリの認証と認可を行いたいです。
大まかなやり方と学習するべき事、学習できる記事などを教えていただければ幸いです。
出来たこととやりたいこと
1.スマホアプリにusernameとpasswordを入力するフォームを作る(出来た)
↓
2.usernameを渡すと、ハッシュ化されたパスワードを送るWebAPIを作成する(出来た)
↓
3.アプリ側で入力したパスワードとハッシュ化されたパスワード照合し、一致したらトップ画面に遷移する(出来た)
↓
4.アプリ側からサーバへユーザ個人の情報を更新するリクエストを送り、サーバ側で受け取る(やりたい)
4.の項目を実現するにあたり、他のユーザからのなりすましを防ぐためにどのようなことをすればよろしいでしょうか?
「usernameを渡すと、ハッシュ化されたパスワードを送る」っていう段階で脆弱性がありそうな
ひとまとまりのアプリケーションを作るための学習に効果は皆無なのでひたすら基礎からミニマムプログラムで地力をつけてください。としか。
すみません。質問からそれますが、ハッシュ化されたパスワードを送るのがなぜダメなのですか?
自分のものでなくても、どんなusernameでもAPIに送って(ハッシュ化された)パスワードをゲットできる作りになってませんか?
そういえば、以下は何の関連性があるんでしょう。
https://teratail.com/tags/Kivy
前回の質問では、Kivyで作ったスマホアプリで、入力されたパスワードとサーバ側から渡されたハッシュ化されたパスワードの照合方法を募集していました。
現状の内容では関連性不明ですし、初めて今回の投稿を見る人への配慮をお願いします。
> サーバ側から渡されたハッシュ化されたパスワード
他の方も書いてますが、これは重大な脆弱性です。商用サイトでやったら、新聞に載るレベルじやないかな。自己流でやるのではなく、ちゃんと正しい方法を学びましょう。
回答1件
0
2.usernameを渡すと、ハッシュ化されたパスワードを送るWebAPIを作成する(出来た)
↓
3.アプリ側で入力したパスワードとハッシュ化されたパスワード照合し、一致したらトップ画面に遷移する(出来た)
他の回答者さんからもご指摘がある通り、
この時点でかなりセキュリティがガバガバになります。
まずは、
ハッシュ化、並びに照合の部分は、サーバー側でやるべきでしょう。
(アプリに最終的に照合する文字列を保持する、または処理させる時点で危ないため)
サーバー側で、DBに登録するのも、もちろん、ハッシュ化されたパスワードを登録、とする感じです。
ただし、ハッシュ化するだけでは、パスワードの保存においては不十分とされることが多いため、
しっかりと、暗号化するという方向で調べた方がいいかと。
また、現代では、Webアプリと、ネイティブアプリの認証の際、
ユーザー名とパスワードのみでなく、アクセストークンを使うことがほとんどです。
(一時的にせよ恒久的にせよ)
つまり、認証に使う情報としては、
ユーザーネーム・パスワード(送信時はそのままで、サーバー側で、暗号化と照合をする)・アクセストークンの三つを照合にかける、ということです。
ただし、どこまでやっても、完璧に攻撃等を防ぎ切る方法とはなりません。
大事なのは、できる限り、ほぼほぼの攻撃等を防ぐ、という、実装限界と、どれくらい防げるかのバランス見極めかと。
(もちろん最低限ここは防がねば、とのラインはあります)
投稿2023/02/02 06:05
総合スコア9555
パスワードの照合をサーバ側で行う場合は、入力されたusernameとpasswordをサーバ側のAPIにHTTPリクエストとして送るということですか?すみません、質問内容からそれていますが、ご回答していただけると幸いです。
返信が遅れてすみません。
> 入力されたusernameとpasswordをサーバ側のAPIにHTTPリクエストとして送る
そういうことです。
あなたの回答
tips
プレビュー
