Upgrade to Pro — share decks privately, control downloads, hide ads and more …

LIFF API のセキュリティ的な話

Avatar for 捧隆二 捧隆二
March 28, 2023
Technology
0
580

LIFF API のセキュリティ的な話

Avatar for 捧隆二

捧隆二

March 28, 2023
Tweet

More Decks by 捧隆二

See All by 捧隆二
LINEミニアプリ/LIFFアプリを サクッと作りたいならFirebase
Avatar for 捧隆二 arahabica
3
2.1k
LIFFで認証しようとしたら意外と奥が深かった話
Avatar for 捧隆二 arahabica
0
1.9k
Firebase x LINE / Ruby on Rails x LINEでログイン画面を無くそう
Avatar for 捧隆二 arahabica
0
2.3k
公式管理画面 vs 非公式管理画面
Avatar for 捧隆二 arahabica
0
550
Share Target Pickerを使って LIFFアプリを拡散しよう
Avatar for 捧隆二 arahabica
0
1k
Share Target Pickerを使って消えるメッセージを作ってみた
Avatar for 捧隆二 arahabica
0
7.7k
非公式LINE管理画面を作ってみた
Avatar for 捧隆二 arahabica
0
440
Clovaで他とは違うスマートスピーカー体験
Avatar for 捧隆二 arahabica
0
140
LINEグループであそぼ
Avatar for 捧隆二 arahabica
1
400

Other Decks in Technology

See All in Technology
o11yツールを乗り換えた話
Avatar for tak0x00 tak0x00
1
120
AIに目を奪われすぎて、周りの困っている人間が見えなくなっていませんか?
Avatar for an cap120
1
430
✨敗北解法コレクション✨〜Expertだった頃に足りなかった知識と技術〜
Avatar for nanachi nanachi
1
420
마라톤 끝의 단거리 스퍼트: 2025년의 AI
Avatar for Jeongkyu Shin inureyes
PRO
1
680
AI人生苦節10年で会得したAIがやること_人間がやること.pdf
Avatar for shibuiwilliam shibuiwilliam
1
270
SRE新規立ち上げ! Hubbleインフラのこれまでと展望
Avatar for Katsuya Fujii katsuya0515
0
160
人に寄り添うAIエージェントとアーキテクチャ #BetAIDay
Avatar for LayerX layerx
PRO
8
2k
2025新卒研修・HTML/CSS #弁護士ドットコム
Avatar for 弁護士ドットコム bengo4com
3
13k
ホリスティックテスティングの右側も大切にする 〜2つの[はか]る〜 / Holistic Testing: Right Side Matters
Avatar for nihonbuson nihonbuson
PRO
0
570
金融サービスにおける高速な価値提供とAIの役割 #BetAIDay
Avatar for LayerX layerx
PRO
1
720
GMOペパボのデータ基盤とデータ活用の現在地 / Current State of GMO Pepabo's Data Infrastructure and Data Utilization
Avatar for Hiroka Zaitsu zaimy
3
190
2時間で300+テーブルをデータ基盤に連携するためのAI活用 / FukuokaDataEngineer
Avatar for Sansan R&D sansan_randd
0
130

Featured

See All Featured
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
A better future with KSS
Avatar for Kyle Neath kneath
238
17k
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
656
60k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
95
14k
Faster Mobile Websites
Avatar for Dean Hume deanohume
308
31k
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
173
14k
It's Worth the Effort
Avatar for 3n 3n
185
28k
Docker and Python
Avatar for Tania Allard trallard
45
3.5k
Code Reviewing Like a Champion
Avatar for maltzj maltzj
524
40k
Sharpening the Axe: The Primacy of Toolmaking
Avatar for Bryan Cantrill bcantrill
44
2.4k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1031
460k

Transcript

  1. LINE Developer Community 【React/Vercelハンズオン】LINEミニアプリ×microCMSでサロン向けアプリを作ろう LIFF API のセキュリティ的な話 2022.03.28 捧 隆⼆

    1

  2. ⾃⼰紹介 捧 隆⼆ (ささげ りゅうじ) ITエンジニア ⼤学院在学中に⼤阪でITスタートアップを起業。 上京後、外資系ITコンサル、フィンテック企業を経験。 2019年にボイスアップラボの創業メンバーとして参画。LINE関連 の開発に従事。

    LINE BOOT AWARDS 2018 部⾨賞受賞。2021年よりLINE API Expert。 趣味は温泉めぐり。 2 Arahabica @Arahabica1

  3. 今回のハンズオンにおける認証 3

  4. 今回のハンズオンにおける認証 • 認証はほぼしていない • LINEのユーザーIDをそのままMicroCMSに保存 Ø ユーザーIDを知っているだけでは認証にはならない 4

  5. 今回のハンズオンにおける認証 • 認証はほぼしていない • LINEのユーザーIDをそのままMicroCMSに保存 Ø ユーザーIDを知っているだけでは認証にはならない Ø 本番環境では危険︕ 5

  6. なぜ危ない︖ • IDの漏洩リスク • 他のユーザの情報を表⽰する際に漏れるリスク 6 Aさん Bさん Cさん Ranking

  7. なぜ危ない︖ • IDの漏洩リスク • 他のユーザの情報を表⽰する際に漏れるリスク • IDなので変更不能 • IDなので暗号論的に安全に⽣成される乱数とは限らない •

    ID: 001があるとID: 002もあるかもしれない。 • 推測、総当たり可能性 7

  8. LIFFの認証 8

  9. LIFFの認証 1. LIFFでアクセストークンを取得 2. アクセストークンをサーバに送信 3. サーバからLINEにアクセストークンを送りプロフィール取得 4. 問題なければ認証成功 9

  10. LIFFの認証 1. LIFFでアクセストークンを取得 2. アクセストークンをサーバに送信 3. サーバからLINEにアクセストークンを送りプロフィール取得 4. 問題なければ認証成功 Ø

    公式のドキュメントに詳細載っています。 https://developers.line.biz/ja/docs/liff/using-user-profile/#use-user- info-on-server 10

  11. LIFFの認証の実装の流れ 11

  12. LIFFの認証の実装の流れ 1. LIFFアプリを初期化 12 LINE ミニアプリ Server 1. 初期化

  13. LIFFの認証の実装の流れ 1. ミニアプリを初期化 2. トークン取得 13 LINE ミニアプリ Server 1.

    初期化 2. トークン取得

  14. LIFFの認証の実装の流れ 1. ミニアプリを初期化 2. トークン取得 3. トークン送付 14 LINE ミニアプリ

    Server 1. 初期化 2. トークン取得 3. トークン送付

  15. LIFFの認証の実装の流れ 1. ミニアプリを初期化 2. トークン取得 3. トークン送付 4. トークン検証 15

    LINE ミニアプリ Server 1. 初期化 2. トークン取得 3. トークン送付 4. トークン検証

  16. LIFFの認証の実装の流れ 1. ミニアプリを初期化 2. トークン取得 3. トークン送付 4. トークン検証 5.

    認証情報共有 16 LINE ミニアプリ Server 1. 初期化 2. トークン取得 3. トークン送付 4. トークン検証 5. 認証情報共有

  17. LIFFの認証の実装の流れ 1. ミニアプリを初期化 2. トークン取得 3. トークン送付 4. トークン検証 5.

    認証情報共有 Ø ここが⼀番たいへん Ø 認証ライブラリが想定していない 17 LINE ミニアプリ Server 1. 初期化 2. トークン取得 3. トークン送付 4. トークン検証 5. 認証情報共有

  18. FirebaseによるLIFFの認証の実装 18

  19. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 19

  20. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 1. ミニアプリを初期化 2. トークン取得 3. トークン送付

    4. トークン検証 20 LINE Cloud Functions Authentication 1. 2. 3. 4.

  21. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 1. ミニアプリを初期化 2. トークン取得 3. トークン送付

    4. トークン検証 5. カスタムトークン作成 21 LINE Cloud Functions Authentication 1. 2. 3. 4. 5. トークン作成

  22. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 1. ミニアプリを初期化 2. トークン取得 3. トークン送付

    4. トークン検証 5. カスタムトークン作成 6. カスタムトークン取得 22 LINE Cloud Functions Authentication 1. 2. 3. 4. 5. トークン作成 6. トークン取得

  23. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 1. ミニアプリを初期化 2. トークン取得 3. トークン送付

    4. トークン検証 5. カスタムトークン作成 6. カスタムトークン取得 7. カスタムトークンで認証 23 LINE Cloud Functions Authentication 1. 2. 3. 4. 5. トークン作成 6. トークン取得 7. トークンで認証

  24. FirebaseによるLIFFの認証の実装 • Firebase Authenticationのカスタムトークン作成機能を使うと対応可能 1. ミニアプリを初期化 2. トークン取得 3. トークン送付

    4. トークン検証 5. カスタムトークン作成 6. カスタムトークン取得 7. カスタムトークンで認証 • 詳細は記事参照 • https://qiita.com/Arahabica/items/8f5c7472ded92128535f 24 LINE Cloud Functions Authentication 1. 2. 3. 4. 5. トークン作成 6. トークン取得 7. トークンで認証