Q&A
質問文を訂正しました。すみません記載ミスです。
######質問概要
ユーザ等のパスワードをDBに保存する際、一般的には暗号化して登録すると思いますが、この登録時に使用したプログラミング言語と、このパスワードを使って認証するプログラミング言語が異なる場合に簡単に実現できる方法はないかというご質問です。
######具体例
PHPで構築したWEBアプリがあり、ブラウザのフォームからユーザ登録を受け付けます。
そこで入力されたユーザのパスワードを、PHPのpassword_hash関数でハッシュ化し、ハッシュ化したパスワードをDBに登録します。
一方で、同DBに対してCRUDするWebAPIを作成します。こちらの言語がGoになります。
初回認証時に、PHPの関数でハッシュ化されたパスワードをGo(WebAPIでPOSTされたパスワード)で照合(コンペア)します。
※実際にGoのbcryptパッケージでコンペアしてみたところ上手くいかなかったので質問しています
######質問内容
上記例の場合、どうするのがベターでしょうか?
個人的には、上記を解決する方法として下記2点を考えております。
①認証処理を一本化する(PHPに一本化するならGoから認証だけPHPを呼ぶ)
②プロジェクトで共通の暗号・復号処理を各言語ごとに独自で実装する
(PHPの関数は使わず、GoとPHP共通のアルゴリズムで暗号・復号)
PHPとGOに関わらず、このようにシステムに複数言語を使われている方がいましたらどのように実現されているか知りたいです。
良い方法がありましたら是非教えてください。
よろしくお願いします。
回答4件
0
ハッシュは登録されているものと入力された文字列のハッシュが一致するかどうかに使います。
このメリットは、パスワードそのものを登録しておく必要が無いので(ハッシュだけ登録しておけばいい)セキュリティ的に安全性が高いということです。ハッシュから元の文字列を類推するのが難しいのと、違う文字列で同じハッシュになることはまずありえないというところから利用されています。
投稿2016/08/10 07:48
総合スコア3579
0
余談になりますが、認証のためにハッシュ化されたパスワードを復号する
ってのはあんまやんないんじゃないかなあ。
入力されたものをハッシュ化して、それ同士を比較するみたいな!?
投稿2016/08/10 07:36
総合スコア7458
0
暗号と言うのは、アルゴリズムが同じであれば基本的に結果は同じです。
暗号化する際に必要となるキーやIVも同じにする必要はありますが、こちらも言語には依存しません。
システム構築上の課題としては、認証を一本化するという解決策を取るのがメンテナンス効率的にもいいとは思いますが、システムの拡張性を損なう懸念はありますね。
ただ個人的には、いい機会ですので同じ条件で異なる言語で暗号化を行うという事に挑戦されることをお勧めします。
投稿2016/08/10 07:31
総合スコア5405
質問文読み落としてましたが、hashを複合としているんですか?
hashは復号を考えない一方向の暗号化ですから、復号は出来ませんよ。
言語が同じPHPでもできません。
PHPで言うならmcrypt_encrypt等を使って、復号可能な暗号化を行う必要があります。
質問文を訂正しました。すみません記載ミスです。
回答に書いていますが、暗号化を行う時には平文以外にキー等が必要になります。
password_hash()は、saltという、何も指定しなければPHPがランダムで作成する文字列をキーにして暗号化が行われます。
このsaltがGo言語と共有されていなければハッシュ値は当然異なります。
(PHP7では、password_hash()でsaltを独自指定するのは非推奨となっているようですが。)
0
投稿2016/08/10 07:25
総合スコア145183
パラメーターの問題なんですかね?
コストぐらいしかパラメータは指定していませんが、具体的にpassword_hashでいくとどのパラメータかお分かりでしたら教えて欲しいです。
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
退会済みユーザー
2016/08/10 08:12