Udemy 13. フロントエンドのログイン認証 #03
2020年11月03日に公開

【Nuxt.js】ローカルストレージの有効期限を暗号化する(crypto-js解説)

今回達成すること

今回は、前回実装したローカルストレージの有効期限を暗号化する処理を行います。

完成イメージ

2020-10-10 11-19-02-2

注意点

今回実装する暗号化処理はすぐ解読されます。(理由は記事下部に記載)

実装しても、しなくてもセキュリティレベルに変わりはありません。

あくまで、有効期限を丸見えにしないための実装とお考えください。

有効期限を暗号化する

数字を隠し、有効期限を一目で理解できないようにするため、JavaScriptの暗号化モジュールcrypto-js(クリプト・ジェーエス)を使って、有効期限を暗号化します。

モジュールのインストール

まずはcrypto-jsをインストールしましょう。

root $ docker-compose run --rm front yarn add crypto-js
...
# 成功
success Saved 1 new dependency.
info Direct dependencies
└─ crypto-js@4.0.0
info All dependencies
└─ crypto-js@4.0.0

暗号と複合に使う鍵を生成する

Node.jsに入っているcryptoモジュールを使ってランダムな文字列を生成します。

この文字列は、暗号化と複合化に使用する鍵となります。

root $ docker-compose run --rm front node

> crypto.randomBytes(20).toString('hex')
'e758af258be55eddd5ab5d28cee60edbf5b62e43'

コンソールから抜けましょう。

> 「control」+「D」

環境変数に鍵を設定する

「front」ディレクトリの.envファイルに、上記で生成した文字列を変数にします。

front/.env
APP_NAME=BizPnanner
// 追加
CRYPTO_KEY=e758af258be55eddd5ab5d28cee60edbf5b62e43

nuxt.config.jspublicRuntimeConfigにも登録しましょう。

export default {
  ...
  // public ENV
  // Doc: https://nuxtjs.org/guide/runtime-config/
  publicRuntimeConfig: {
    appName: process.env.APP_NAME,
    // 追加
    cryptoKey: process.env.CRYPTO_KEY
  },
	...
}

環境変数の読み込みを行うため、frontサービスを再起動します。

root $ docker-compose restart front

crypto-jsを読み込む

「plugins」ディレクトリのauth.jscrypto-jsを読み込みます。

front/plugins/auth.js
// 追加
// Doc: https://www.npmjs.com/package/crypto-js
const cryptoJs = require('crypto-js')
const storage = window.localStorage
const keys = { exp: 'exp' }

class Authentication {
  ...
}

暗号化メソッドを追加

有効期限を暗号化するメソッドをコンストラクタの下に追加します。

front/plugins/auth.js
...
class Authentication {
  constructor (ctx) {
    this.store = ctx.store
    this.$axios = ctx.$axios
    this.error = ctx.error
    // 追加
    this.$config = ctx.$config
  }

  // 追加
  // 有効期限を暗号化
  encrypt (exp) {
    const expire = String(exp * 1000)
    return cryptoJs.AES.encrypt(expire, this.$config.cryptoKey).toString()
  }
	...
}

// $configを追加
export default ({ store, $axios, error, $config }, inject) => {
  inject('auth', new Authentication({ store, $axios, error, $config }))
}

  • String(exp * 1000) … 数字は暗号化時にエラーとなるため、文字列に変換します。

    オブジェクトの場合は、JSON.stringify(object)を使用します。

    参考: crypto-js - npm

  • AES.encrypt('文字列', '鍵') … 文字列を暗号化する。

    複合する時は、暗号化と同じ鍵を使用します。

複合化メソッドを追加

暗号化した有効期限を複合化するメソッドを追加します。

try catchを使って、失敗した場合にストレージを削除します。

front/plugins/auth.js
...
class Authenticator {
  ...
  encrypt (exp) {
    ...
  }

  // 追加
  // 有効期限を複合化
  decrypt (exp) {
    try {
      const bytes = cryptoJs.AES.decrypt(exp, this.$config.cryptoKey)
      return bytes.toString(cryptoJs.enc.Utf8) || this.removeStorage()
    } catch (e) {
      return this.removeStorage()
    }
  }
  ...
}
...
  • AES.decrypt('暗号文字列', '鍵') … 暗号化した文字列を複合したオブジェクトを返す。

    鍵は暗号化時の鍵と同じ鍵を使用します。

    bytes.toStringで、オブジェクトを元の文字列に戻します。

有効期限を取得するメソッドを編集

前回追加した、ストレージから暗号化文字列を取得するgetExpire()を編集します。

  • ストレージに値が存在する場合はdecrypt(デクリプト)を呼び、
  • 存在しない場合はnullを返します。
front/plugins/auth.js
...
class Authenticator {
  ...
  removeStorage () {
    ...
  }

  // storageの有効期限を複合して返す
  getExpire () {
    // 追加
    const expire = storage.getItem(keys.exp)
    return expire ? this.decrypt(expire) : null
    // 削除
    // return storage.getItem(keys.exp)
  }
  ...
}
...

有効期限を保存するメソッドを編集

前回追加したsetStorageを編集します。

有効期限をencrypt()で暗号化し、ストレージに保存します。

front/plugins/auth.js
...
class Authenticator {
  ...
  decrypt (exp) {
    ...
  }

  // storageに保存
  setStorage (exp) {
    // 追加
    storage.setItem(keys.exp, this.encrypt(exp))
    // 削除
    // storage.setItem(keys.exp, exp * 1000)
  }
  ...
}
...

有効期限の暗号化を確認してみよう

コンテナを起動して、http://localhost:8080/login にアクセスしてください。

確認のため、login.vuegetExpire()メソッドを追加します。

front/pages/login.vue
<template>
  <bef-login-form-card #form-card-content>
    <!-- 追加 -->
    {{ $auth.getExpire() }}
    ...
  </bef-login-form-card>
</template>

有効なユーザーでログインしてみましょう。

2020-10-04 14-17-41

ローカルストレージには暗号化した有効期限が保存され、 HTMLには複合した有効期限が表示されます。

2020-10-10 11-08-23

改ざんしてみよう

ローカルストレージのexpの値を適当に書き換えて、リロードしてみましょう。

ストレージは削除されて、HTMLには何も表示されなくなりました。

テストコードを削除する

確認が取れたら、追加したテストコードを削除してください。

front/pages/login.vue
<template>
  <bef-login-form-card #form-card-content>
    <!-- {{ $auth.getExpire() }} 削除 -->
    ...
</template>

Herokuに環境変数を登録する

忘れないうちに本番環境のHerokuにも、CRYPTO_KEYを登録しておきましょう。

「front」ディレクトリ上でheroku config:setを実行してください。

root $ cd front
front $ heroku config:set CRYPTO_KEY=<適当な値>
front $ heroku config

APP_NAME:            BizPlanner
CRYPTO_KEY: b834...

だが、しかし

「やった!これでフロントエンドでも完璧な認証ができた」と思った方。すみません。

この有効期限は簡単に解読されます。。。

なぜか

これは、鍵に使用したCRYPTO_KEYが漏洩しているからです。

publicRuntimeConfigに登録した値は、window.__NUXT__.congfigに登録され、HTMLに展開されます。

2020-10-31 00-10-02

じゃあどうすれば

結論は、「どうもしなくて良い」です。

今回用意した鍵は、有効期限を隠すためだけに使用します。

漏洩した鍵を使って有効期限を偽造したところで、Cookieのトークンが正しくなければデータベースのユーザー情報にたどりつくことができません。

先で実装しますが、無効なトークンをリクエストした場合は即座に認証エラーを吐き出し、ログアウトさせます。

つまり、正しいトークンを持たないユーザーはログイン状態を維持できない設計となっています。

envプロパティに登録した値もそうですが、基本的にクライアントで使用する環境変数はソースコード上に展開されます。

今回実装した有効期限の暗号化は、有効期限を隠すためのものであって、守るためのものではないことをご理解ください。

クライアントで重要な鍵を扱う必要がある場合は、サーバーにリクエストを送ってサーバー側で判定をする実装がベストです。

参考: NuxtのJamstack構成におけるAPIキーの隠蔽方法について

コミットしとく

今回の実装は異常です。

コミットしときましょう。

root $ cd front
front $ git commit -am "add_crypto-js_module" && cd ..
root $ 

まとめと予告

今回は、ローカルストレージに保存した有効期限をcrypto-jsを使って暗号化しました。

次回は、Vuexのユーザーを維持して、ログインしたままにする処理を実装します。

どうぞ、お楽しみに〜!

本番環境の環境変数について、まとめましたのでお時間ある方はご覧ください↓

(コラム)Nuxt.js SPA v2.13+ Herokuデプロイ時の環境変数の取り扱い

env プロパティに登録した環境変数

envプロパティは、クライアント側で使用できる環境変数を定義します。

引用: envプロパティ - Nuxt.js

nuxt.config.js
export default {
  env: {
    cryptoKey: process.env.CRYPTO_KEY
  }
}

envプロパティに登録した環境変数は、コンパイル中に変換され値がセットされます。

コンパイルとは、Nuxt.jsのコードを純粋なJavaScriptに変換する事です。

コンパイルが実行されるタイミングは、nuxt buildコマンドが実行された時です。

nuxt buildは、yarn run buildコマンドを叩いた時に実行されます。

Dockerを使ったHerokuデプロイを行なっている場合、Dockerfile内でRUN yarn run buildを行なっています。

つまり、buildコマンド以前に環境変数の値を定義していないと、Nuxt.jsのenvプロパティで参照することができません。

結論

envプロパティに定義する環境変数は、DockerfileENVで定義する必要があります。

Dockerを使ったNuxt SPAモードでは、$ heroku config:setで定義した環境変数を、envプロパティで参照することができません。

env プロパティの環境変数は漏洩します

env プロパティに登録された環境変数の値は、JavaScript内に展開され、誰でも参照できる値となるので取り扱いにはご注意ください。

JavaScriptに展開されたenvプロパティ(デベロッパーツールのSourcesタブより)
return e.context || (e.context = {
    isStatic: !0,
    isDev: !1,
    isHMR: !1,
    app: e,
    store: e.store,
    payload: n.payload,
    error: n.error,
    base: "/",
    env: {
        cryptoKey: "b834d7320be976..."
    }
}

publicRuntimeConfig に登録した環境変数

ここに登録した環境変数は、クライアントとサーバーの両方から参照できます。クライアントで使用する環境変数を登録します。

参考: RuntimeConfigのプロパティ - Nuxt.js

nuxt.config.js
export default {
  publicRuntimeConfig: {
    cryptoKey: process.env.CRYPTO_KEY
  }
}

結論

$ heroku config:setで定義した環境変数をクライアントで使用したい場合は、ここに登録します。

publicRuntimeConfig の環境変数は漏洩します

publicRuntimeConfig に登録された環境変数は、window.__NUXT__.configに登録されます。

この値は、HTMLファイルの<script>タグ内で展開されるので、誰でも参照できます。

HTMLに展開されたpublicRuntimeConfig
<script>
  window.__NUXT__ = {
      config: {
          cryptoKey: "b834d7320be976..."
      },
      staticAssetsBase: void 0
  }
</script>

参考: Runtime Config - Nuxt.js

privateRuntimeConfig に登録した環境変数

ここに登録した環境変数は、サーバーのみで参照できます。主にサーバーサイドレンダリング時に使用する環境変数を登録します。

publicRuntimeConfigと同じ値がある場合、privateRuntimeConfigの値が優先されます。

nuxt.config.js
export default {
  privateRuntimeConfig: {
    cryptoKey: process.env.CRYPTO_KEY
  }
}

privateRuntimeConfigに登録した環境変数は、クライアントからは参照することができません。

よって、ソースコードから環境変数が漏洩することはありません。

ただ、SPAモードでは、クライアントでレンダリングを行なっているため、ここに登録した値を参照することはできません。無念。

(おしまい。)

あなたの力になれること
私自身が独学でプログラミングを勉強してきたので、一人で学び続ける苦しみは痛いほど分かります。そこで、当時の私がこんなのあったら良いのにな、と思っていたサービスを立ち上げました。周りに質問できる人がいない、答えの調べ方が分からない、ここを聞きたいだけなのにスクールは高額すぎる...。そんな方に向けた単発・短期間メンターサービスを行っています。下のサービスへお進みください。
独学プログラマのサービス
次の記事はこちら
1. このカテゴリーの歩き方 #01
【お知らせ】UdemyでRails × Nuxt.jsの動画を公開することになりました
1. このカテゴリーの歩き方 #02
アプリケーション仕様書
1. このカテゴリーの歩き方 #03
このカテゴリーの歩き方(まずはここをチェック)
1. このカテゴリーの歩き方 #04
(Docker+Rails6+Nuxt.js+PostgreSQL)=>Heroku 環境構築~デプロイまでの手順書
2. Docker入門 #01
Docker for Macをインストールする手順
2. Docker入門 #02
分かるDocker解説。仮想環境・コンテナ・Dockerイメージ・Dockerfileとは何か?
2. Docker入門 #03
分かるDocker解説。DockerComposeとは何か?
3. Dockerを使ったRails+Nuxt.js環境構築 #01
【Docker+Rails6+Nuxt.js】今回作成するアプリの開発環境の全体像を知ろう
3. Dockerを使ったRails+Nuxt.js環境構築 #02
【MacOS】Homebrew経由でGitをインストールする方法
3. Dockerを使ったRails+Nuxt.js環境構築 #03
Rails6を動かすAlpineベースのDockerfileを作成する(AlpineLinuxとは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #04
Nuxt.jsを動かすAlpineベースのDockerfileを作成する(C.UTF-8とは何か)
3. Dockerを使ったRails+Nuxt.js環境構築 #05
.envファイルを使ったdocker-compose.ymlの環境変数設計
3. Dockerを使ったRails+Nuxt.js環境構築 #06
Rails6・Nuxt.js・PostgreSQLを動かすdocker-compose.ymlファイルを作成する
3. Dockerを使ったRails+Nuxt.js環境構築 #07
docker-compose.ymlを使ってRails6を構築する(PostgreSQLパスワード変更方法)
3. Dockerを使ったRails+Nuxt.js環境構築 #08
docker-compose.ymlを使ってNuxt.jsを構築する
4. 複数プロジェクトのGit管理 #01
複数プロジェクトで行うGit管理の全体像を理解しよう(Gitサブモジュール解説)
4. 複数プロジェクトのGit管理 #02
【Git】既存の子ディレクトリをサブモジュール管理に変更する手順
4. 複数プロジェクトのGit管理 #03
【GitHub】秘密鍵の生成・公開鍵を追加・SSH接続するまでを画像で分かりやすく
4. 複数プロジェクトのGit管理 #04
【GitHub】リモートリポジトリの追加・サブモジュールのリンク設定を行う
5. RailsAPI×Nuxt.js初めてのAPI通信 #01
【Rails6】"Hello" jsonを返すコントローラを作成する
5. RailsAPI×Nuxt.js初めてのAPI通信 #02
【Nxut.js】axiosの初期設定を行う(baseURL・browserBaseURLを解説)
5. RailsAPI×Nuxt.js初めてのAPI通信 #03
【Rails6】Gem rack-corsを導入してCORS設定を行う(オリジン・CORSとは何か)
6. Heroku.ymlを使ったDockerデプロイ #01
デプロイ準備。Herokuへ新規会員登録を行いHerokuCLIをインストールする
6. Heroku.ymlを使ったDockerデプロイ #02
heroku.yml解説編。Docker環境のRails6をHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #03
HerokuCLI-manifestのデプロイ解説編。Docker環境のRails6をHerokuにデプロイする(2/2)
6. Heroku.ymlを使ったDockerデプロイ #04
Dockerfile解説編。Docker環境のNuxt.jsをHerokuにデプロイする(1/2)
6. Heroku.ymlを使ったDockerデプロイ #05
デプロイ完結編。Docker環境のNuxt.jsをHerokuにデプロイする(2/2)
7. モデル開発事前準備 #01
【Rails6】application.rbの初期設定(タイムゾーン・I18n・Zeitwerk)
7. モデル開発事前準備 #02
【Rails6】モデル開発に必要なGemのインストールとHirb.enableの自動化
7. モデル開発事前準備 #03
【Docker+Rails】A server is already running. Check /tmp/pids/server.pidエラーの対応
7. モデル開発事前準備 #04
【Docker】<none>タグのイメージを一括削除する & Rails .gitignoreの編集
8. ユーザーモデル開発 #01
Railsユーザーモデル作成。テーブル設計・ユーザー認証設計を理解する
8. ユーザーモデル開発 #02
Railsユーザーモデルのバリデーション設定(has_secure_password解説)
8. ユーザーモデル開発 #03
Railsバリデーションエラーメッセージの日本語化(ja.yml設定方法)
8. ユーザーモデル開発 #04
EachValidatorクラスのカスタムバリデーション設定(Rails6/lib以下読込)
8. ユーザーモデル開発 #05
Rails環境ごとにSeedデータ切り替えるseeds.rbの書き方
8. ユーザーモデル開発 #06
Rails6から導入された並列テストを理解する
8. ユーザーモデル開発 #07
Railsユーザーモデルバリデーションテスティング(name/email/password)
8. ユーザーモデル開発 #08
Nuxt.jsからRailsのユーザーテーブルを取得しHerokuにデプロイする
9. Nuxt.jsフロント開発事前準備 #01
【Nuxt.js2.13超解説】バージョンアップ手順と6つの新機能+2つの変更点
9. Nuxt.jsフロント開発事前準備 #02
Docker AlpineベースのNode.js上で動くNuxt.jsにVuetifyを導入する
9. Nuxt.jsフロント開発事前準備 #03
VuetifyにカスタムCSSを導入してオリジナルブレイクポイントを作る
9. Nuxt.jsフロント開発事前準備 #04
Nuxt.jsにnuxt-i18nを導入して国際化に対応する
10. ログイン前のレイアウト構築 #01
Nuxt.jsのレイアウト・ページ・コンポーネントの役割を理解しよう
10. ログイン前のレイアウト構築 #02
Nuxt.js ウェルカムページを構成するコンポーネントファイル群を作成しよう(1/4)
10. ログイン前のレイアウト構築 #03
Nuxt.js ウェルカムページにアイキャッチ画像・アプリ名・メニューボタンを表示しよう(2/4)
10. ログイン前のレイアウト構築 #04
Nuxt.js addEventListenerでスクロールを検知しツールバーの色を変化させよう(3/4)
10. ログイン前のレイアウト構築 #05
Nuxt.js ウェルカムページをレスポンシブデザインに対応させよう(4/4)
10. ログイン前のレイアウト構築 #06
Nuxt.js 会員登録ページのレイアウトファイルを作成しよう(1/4)
10. ログイン前のレイアウト構築 #07
Nuxt.js 名前、メール、パスワードのコンポーネントファイルを作成しよう(2/4)
10. ログイン前のレイアウト構築 #08
Nuxt.js 親子コンポーネント間の双方向データバインディングを実装する(3/4)
10. ログイン前のレイアウト構築 #09
Nuxt.js Vuetifyのv-text-fieldを使った会員登録フォームのバリデーション設定(4/4)
10. ログイン前のレイアウト構築 #10
Nuxt.js ログインページ実装とHerokuデプロイまで(router. replaceとpushの違いとは)
11. ログイン後のレイアウト構築 #01
Nuxt.js ログイン後のツールバーを作成しよう(inject解説)
11. ログイン後のレイアウト構築 #02
Nuxt.js アカウントメニューページ・ログアウト機能を実装しよう(nuxt-child解説)
11. ログイン後のレイアウト構築 #03
Nuxt.js ログイン後のトップページにプロジェクト一覧を表示しよう
11. ログイン後のレイアウト構築 #04
Nuxt.js プロジェクトページにVuetifyのナビゲーションドロワーを追加しよう
11. ログイン後のレイアウト構築 #05
Nuxt.js paramsIDからプロジェクトを検索してVuexに保存しよう
12. サーバーサイドのログイン認証 #01
JWTとは何か?(ruby-jwtのインストール)
12. サーバーサイドのログイン認証 #02
【Rails×JWT】ログイン認証解説とJWT初期設定ファイルの作成
12. サーバーサイドのログイン認証 #03
【Rails×JWT】トークン発行とデコードを行うAuthTokenクラスの作成
12. サーバーサイドのログイン認証 #04
【Rails×JWT】 ログイン判定を行うAuthenticatorモジュールの作成
12. サーバーサイドのログイン認証 #05
【Rails×JWT】UserクラスからJWTを扱うTokenizableモジュールの作成
12. サーバーサイドのログイン認証 #06
【Rails×JWT】AuthTokenクラスとAuthenticatorモジュールをテストする
12. サーバーサイドのログイン認証 #07
【Rails×JWT】JWTをCookieに保存するログインコントローラーの実装
12. サーバーサイドのログイン認証 #08
【Rails×JWT】ログインコントローラーのテストとHerokuデプロイ
13. フロントエンドのログイン認証 #01
【Rails×Nuxt.js】クロスオリジン通信でのCookie共有設定
13. フロントエンドのログイン認証 #02
【Nuxt.js】Railsからのログイン成功レスポンスをVuexに保存する
13. フロントエンドのログイン認証 #03
【Nuxt.js】ローカルストレージの有効期限を暗号化する(crypto-js解説)
13. フロントエンドのログイン認証 #04
【Nuxt.js】JWT有効期限内のユーザーをログインしたままにする実装
13. フロントエンドのログイン認証 #05
【Nuxt.js】ログイン前後のリダイレクト処理をミドルウェアで実装する
13. フロントエンドのログイン認証 #06
【Nuxt.js】ログイン失敗時のトースターをグローバルイベントとして作成する
13. フロントエンドのログイン認証 #07
【Nuxt.js】エラーページを作成する
13. フロントエンドのログイン認証 #08
【Rails×Nuxt.js】デモプロジェクトの作成とHerokuデプロイ(ログイン認証完)
14. 本番環境への対応 #01
【Rails×Nuxt.js】SafariのクロスサイトCookie保存拒否に対応する
SPA開発
ブログ構築
小ネタ集