掲示板をつくっています。認証機能の作り方についてわからない事があるので、ご教授いただけると助かります。

つくっている掲示板について

現在、掲示板を作っています。クライアントサイドは Next.js で作り、サーバーサイドは Express で作ります。また、クライアントとサーバー間は GraphQL をつかって通信します。

そして、認証機能を、以下のようにして実現しようとしています。

ユーザー登録するときに、サーバーでトークンを作成する。そのトークンは、DB の Users テーブルにある authToken 列で保存しておく。また、クライアントの localStorage にも保存しておく。
以降、クライアントがサーバーにリクエストするたび、localStorage に保存されたトークンを、HTTP の authorization ヘッダーに設定する。
サーバー側は、リクエストをうけたら、authorization ヘッダーに設定されている token と一致する行を DB で検索する。行が見つかれば認証成功。

質問

質問1: 時間が経過したら自動ログアウトする機能（セッションタイムアウト？）は実装しない気でいるのですが、何か問題がありますでしょうか？
質問2: ユーザー登録時に作成したトークンは、以降、変更しない気でいるのですが、何か問題がありますでしょうか？

そのほかにも、「セキュリティ的にそれだめだろ。。。」みたいなご指摘があれば、ご教授していただけると助かります。

行動規範の内容に同意します

回答2件

ベストアンサー

質問にある機能は「セッション管理機能」と呼ばれるものです。
一般的に自作のハードルはそこそこ高いです。
＊網羅的な安全対策を行うのに、広い範囲の知識が必要であるため
素直にフレームワークに実装されているモノや適当なライブラリを使うのが適切です。

参考：
安全なウェブサイトの作り方 - 1.4 セッション管理の不備
 ログアウト機能の目的と実現方法 - 徳丸浩の日記
 セッションの安全な管理方法について - teratail // 回答のコメント欄が重要です。
JWTなどのTokenをlocalstrage(HTML5の)に保管することについて - teratail//識者に回答をねだりましたｗ

この辺の基礎学習は重要なので、体系的な学習をすることをオススメします。

投稿2021/06/02 21:48

退会済みユーザー

総合スコア0

退会済みユーザー

2021/06/02 21:52

どうしても token を自作したいのであれば、こちらも参考になると覆います。 https://blog.ohgaki.net/advanced-csrf-token-by-hmac-hash php ベースで書かれさらに CSRF 対策用のモノですが、前半部分が需要です。

kwm1910

2021/06/03 02:50

回答ありがとうございました！

行動規範の内容に同意します

概要

あくまでも私の見解ですが、「ログインの度にトークンを生成し、更にトークンに対して有効期限を設定するのが良い」と考えています。
なので質問1,2共に問題だと私は考えます。

詳細

我々の端末は、常に様々な脅威にさらされています。
ウイルス・マルウェア・端末盗難などなど
あなたが作られている掲示板が、どの程度のセキュリティを担保しないといけないかはわかりませんが、トークンが固定でかつ有効期限がないならば、一度そのトークンを盗み出せば、攻撃者はパスワードの変更をされようが問題なく、永久にアクセスし続けることができます。

有効期限を設定することで、その期間を短縮することができます。

しかしただ有効期限を設定するだけでは、ログインする度に有効期限が延長されることになるでしょう。
そうすると盗まれたトークンは利用者がログインをする限り、有効になってしまいます。

なのでログインの度にトークンを生成し、各々に有効期限を設定することで、問題をある程度解消することができます。

もし余力があれば、トークンを無効化することができると更に良いですね。
例えばパスワード変更のタイミングなど。無効化するタイミングは利用者に委ねても良いでしょう。
よくあるものだと「全ての端末からログアウト」のようなボタンがあったり、端末単位での無効化ができるパターンなど。

(セキュリティの専門家はまた別の意見をお持ちかもしれません)

投稿2021/06/02 17:01