APITokenのHash化の安全性と利便性について

APITokenのHash化の安全性と利便性について

LaravelでSPAを設計しようとした場合、必ずTokenの管理が出てきます。
そして、Tokenをユーザーに知らせたいという要望も、多分出てくると思います。

そんな場合の「できる」「できない」をまとめておこうと思います。

基礎情報：Laravel標準機能としてのToken

LaravelもAPIとの相性が良くなっていて、基本的にToken管理はLaravelさんが勝手にやってくれます。
具体的にはこんな感じ

すげーぜLaravelさん。

「plainTextTokenは発行時の1回のみ確認」が地味に痛い

問題はこの最後の「専用アプリからWebAPIにPOSTしたい」という要望です。
これをする為には、ユーザー認証かけないGuest扱いでAPIPost受けないとイケナイ訳ですが、そもそも簡単に取得できる形で生Tokenを公開してしまうわけにもいきません。
Token取得専用の導線を用意したとしても、Hush化している値が取れるだけで、こいつがTokenとして利用できるわけがありません。

う〜ん、なかなか辛い。

こういう時はOneTime Tokenとして利用すればいい

絶対に安全とは言えませんが、1年間使えるTokenではなく、1回限りのTokenとして用意し、都度削除していく仕組みにすれば再利用されない環境が構築できます。
こんな姿が構築できれば、Hush化せずに生Tokenを保存してアプリから呼び出すなんてことも可能かと思います。

まぁ明確で正確な導線の絵をかけないと甘々になる可能性が否定できないので「ヤラナイに越したことはないですけどね」

まとめ

Hush化が基本で、Hush化していないTokenの取り回しを考えるのが基本です。

でも、そうそう上手く運ばない現場もあります。

そんな時は、安全性をルールで乗り切る方法を考えることも解の一つだと思います。