🎄teratailクリスマスプレゼントキャンペーン2024🎄』開催中!

\teratail特別グッズやAmazonギフトカード最大2,000円分が当たる!/

詳細はこちら
SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

Swift

Swiftは、アップルのiOSおよびOS Xのためのプログラミング言語で、Objective-CやObjective-C++と共存することが意図されています

Q&A

解決済

1回答

882閲覧

Swift + CakePhpでアクセストークンを使った認証は安全なのか

theman

総合スコア11

SSL

SSL(Secure Sockets Layer)とは、暗号化されたプロトコルで、インターネット上での通信セキュリティを提供しています。

PHP

PHPは、Webサイト構築に特化して開発されたプログラミング言語です。大きな特徴のひとつは、HTMLに直接プログラムを埋め込むことができるという点です。PHPを用いることで、HTMLを動的コンテンツとして出力できます。HTMLがそのままブラウザに表示されるのに対し、PHPプログラムはサーバ側で実行された結果がブラウザに表示されるため、PHPスクリプトは「サーバサイドスクリプト」と呼ばれています。

CakePHP

CakePHPは、PHPで書かれたWebアプリケーション開発用のフレームワークです。 Ruby on Railsの考え方を多く取り入れており、Railsの高速性とPHPの機動性を兼ね備えています。 MVCやORMなどを「規約優先の考え方」で利用するため、コードを書く手間を省くことができます。 外部のライブラリに依存しないので、単体での利用が可能です。

Swift

Swiftは、アップルのiOSおよびOS Xのためのプログラミング言語で、Objective-CやObjective-C++と共存することが意図されています

0グッド

1クリップ

投稿2020/12/03 00:28

編集2020/12/03 00:30

通信のセキュリティについての質問です。

CakePHPで作成した、会員サイトがあります。
メールアドレスとパスワードでログインします。

現在、上記の会員サイトのiOSアプリ版をSwiftで作ることを計画していて
アプリ版でも同じ会員データベースの情報を使いたいです。

初回はメールアドレスとパスワードでログインさせて
ログイン成功時にアクセストークン生成しJSONで返して、アプリ側に保存しておき
次回からは、アクセストークンのみで認証を保持させようと考えております。

上記のやりとりは、SSL通信でPOSTで行う予定ですが
通信セキュリティ上問題な部分はありますでしょうか。

試したこと

SSL通信は、クライアントとサーバー間で完全に暗号化されていると書かれていましたが、アクセストークン自体をどこかで傍受されてしまうケースがあるのか分からなかったので質問いたしました。

アクセストークンを使わずに、メールアドレスとパスワード自体をアプリ側に保存して認証を行うのも同じかもしれませんが、レアケースでアプリ自体を解析されてパスワードが漏洩してしまう恐れがあるので、アクセストークンにしておいた方が安全かとは考えられました。

別のアイデアもあったらご教授いただければ幸いです。

補足情報(FW/ツールのバージョンなど)

会員のメールアドレスとハッシュ化されたパスワードレンタルサーバーのmysqlデータベースに保存されています。アクセストークンも同じデータベース上に保存します。
Swiftは現在勉強中です。

気になる質問をクリップする

クリップした質問は、後からいつでもMYページで確認できます。

またクリップした質問に回答があった際、通知やメールを受け取ることができます。

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

guest

回答1

0

ベストアンサー

アクセストークン自体をどこかで傍受されてしまうケース

通信経路でいくと、DNSスプーフィングなどの攻撃で漏れる可能性はありますね。

HTTPSであればだいたい大丈夫かと思いますが上記のような攻撃もありますし、漏れるときは漏れます。なので、アクセストークンが漏れてしまったとき被害を最小限に食い止めるための仕組みは用意していた方がいいと考えます。

対策のポイントとしては、アクセストークンの有効期限を短めにする、アクセストークンをサーバー側で破棄できるようにする、あたりでしょうか。
アクセストークンの有効期限を短くするのであれば、アクセストークンの再発行の仕組みが必要になってきます。

そういう仕組みを備えたOAuth2というものがありますのでそれに乗っかってはどうでしょうか。

なお、対策をするにもコストがかかりますので、起こりうる被害を想定してコストに見合った対策を行えばよいでしょう。

投稿2020/12/04 02:45

nojimage

総合スコア959

バッドをするには、ログインかつ

こちらの条件を満たす必要があります。

theman

2020/12/04 09:00

アドバイスいただいたOAuth2で実装を検討してみます。 課金まわりはないので、そこまでコストをかける必要はなさそうですが セキュリティとアプリの利便性のバランスをみて進めてみます。 DNSスプーフィングによる可能性も大変勉強になりました。 セキュリティ関連の知識も勉強していきたいと思います。 ご回答ありがとうございました。
guest

あなたの回答

tips

太字

斜体

打ち消し線

見出し

引用テキストの挿入

コードの挿入

リンクの挿入

リストの挿入

番号リストの挿入

表の挿入

水平線の挿入

プレビュー

15分調べてもわからないことは
teratailで質問しよう!

ただいまの回答率
85.36%

質問をまとめることで
思考を整理して素早く解決

テンプレート機能で
簡単に質問をまとめる

質問する

関連した質問