Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Firebase x LINE / Ruby on Rails x LINEでログイン画面を無くそう

Sponsored · SiteGround - Reliable hosting with speed, security, and support you can count on.
Avatar for 捧隆二 捧隆二
October 03, 2021
Technology
0
2.4k

Firebase x LINE / Ruby on Rails x LINEでログイン画面を無くそう

LIFF/LINEミニアプリでユーザの操作なしでセキュアに認証する方法を実際のコードを交えながら解説しました。

Avatar for 捧隆二

捧隆二

October 03, 2021
Tweet

More Decks by 捧隆二

See All by 捧隆二
LIFF API のセキュリティ的な話
Avatar for 捧隆二 arahabica
0
640
LINEミニアプリ/LIFFアプリを サクッと作りたいならFirebase
Avatar for 捧隆二 arahabica
3
2.2k
LIFFで認証しようとしたら意外と奥が深かった話
Avatar for 捧隆二 arahabica
0
2k
公式管理画面 vs 非公式管理画面
Avatar for 捧隆二 arahabica
0
580
Share Target Pickerを使って LIFFアプリを拡散しよう
Avatar for 捧隆二 arahabica
0
1.1k
Share Target Pickerを使って消えるメッセージを作ってみた
Avatar for 捧隆二 arahabica
0
7.9k
非公式LINE管理画面を作ってみた
Avatar for 捧隆二 arahabica
0
460
Clovaで他とは違うスマートスピーカー体験
Avatar for 捧隆二 arahabica
0
150
LINEグループであそぼ
Avatar for 捧隆二 arahabica
1
410

Other Decks in Technology

See All in Technology
SMTP完全に理解した ✉️
Avatar for yamatai12 yamatai1212
0
180
~Everything as Codeを諦めない~ 後からCDK
Avatar for mu7889yoon / Yuta Nakamura mu7889yoon
3
200
制約が導く迷わない設計 〜 信頼性と運用性を両立するマイナンバー管理システムの実践 〜
Avatar for ないとー bwkw
2
770
変化するコーディングエージェントとの現実的な付き合い方 〜Cursor安定択説と、ツールに依存しない「資産」〜
Avatar for empitsu empitsu
4
1.1k
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
10k
外部キー制約の知っておいて欲しいこと - RDBMSを正しく使うために必要なこと / FOREIGN KEY Night
Avatar for soudai sone soudai
PRO
1
250
Databricks Free Edition講座 データサイエンス編
Avatar for Takaaki Yayoi taka_aki
0
280
みんなだいすきALB、NLBの 仕組みから最新機能まで総おさらい / Mastering ALB & NLB: Internal Mechanics and Latest Innovations
Avatar for 株式会社カミナシ kaminashi
0
210
最速で価値を出すための プロダクトエンジニアのツッコミ術
Avatar for Kazuto Ohara kaacun
1
520
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.8k
顧客の言葉を、そのまま信じない勇気
Avatar for yamatai12 yamatai1212
1
120
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
Avatar for Konishi tatsuhiro tatsukoni
0
170

Featured

See All Featured
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Java REST API Framework Comparison - PWX 2021
Avatar for Matt Raible mraible
34
9.1k
Faster Mobile Websites
Avatar for Dean Hume deanohume
310
31k
How To Speak Unicorn (iThemes Webinar)
Avatar for Michelle Schulp Hunt marktimemedia
1
370
Bootstrapping a Software Product
Avatar for Garrett Dimon garrettdimon
PRO
307
120k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
Have SEOs Ruined the Internet? - User Awareness of SEO in 2025
Avatar for Akash Hashmi akashhashmi
0
270
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
65
8.4k
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.8k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
1
1.4k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
2
170
Navigating Weather and Climate Data
Avatar for Ryan Abernathey rabernat
0
89

Transcript

  1. Firebase x LINE / Ruby on Rails x LINE でログイン画⾯を無くそう

    2021/10/02 ボイスアップラボ 捧隆⼆ 1

  2. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 2

  3. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 3

  4. ⾃⼰紹介 u 名前: 捧隆⼆ u 2021年よりLINE API Expert u 所属:

    ボイスアップラボ所属 u LINEやスマートスピーカーのアプリ制作 u 趣味: 温泉めぐり 4

  5. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 5

  6. LIFFアプリが流⾏りつつある… 6

  7. LIFFアプリが流⾏りつつある… 7 LIFFアプリ︖︖ 聞いたことないけど︖

  8. Ø 「ワクチンはLINEでも予約できます」 Ø 実はLIFFアプリ 実は増えてます 8

  9. Ø 「会員証はLINEでも登録できます」 Ø 実はLIFFアプリ 実は増えてます 9

  10. Ø LINEアプリ上で動くWebアプリ Ø 通常、LINE公式アカウントのリッチメニューから開かれる LIFFアプリとは 10

  11. Ø ネイティブアプリのインストール不要 Ø でもLINEで通知できる Ø ログイン画⾯が不要 LIFFアプリの利点 11

  12. Ø ネイティブアプリのインストール不要 Ø でもLINEで通知できる Ø ログイン画⾯が不要 楽そう LIFFアプリの利点 12

  13. 13 LIFFアプリの利点 楽そう Ø ネイティブアプリのインストール不要 Ø でもLINEで通知できる Ø 会員登録ページが不要 Ø

    ログイン画⾯が不要

  14. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 14

  15. LIFFアプリの作り⽅ 15

  16. 16 LIFFアプリの作り⽅ Ø 基本はWebアプリの開発です Ø HTML, JavaScript, CSS… Ø WebアプリにLIFF

    SDKを導⼊すればLIFFアプリ Ø LIFF SDK: JavaScriptライブラリ Ø (雑な)開発の流れ Ø LINE Developers ConsoleでLIFFアプリを登録 Ø Webアプリを作成 Ø WebアプリにLIFF SDKを導⼊し、登録したLIFFアプリの LIFF IDを使って初期化

  17. 17 LIFF SDKのよく使うメソッド Ø liff.init() Ø LIFFアプリを初期化 Ø liff.getProfile() Ø

    プロフィールを取得 Ø liff.getAccessToken() Ø ユーザーのアクセストークンを取得

  18. 18 liff.init() Ø LIFFアプリを初期化

  19. 19 liff.getProfile() Ø プロフィールを取得

  20. 20 liff.getAccessToken() Ø ユーザーのアクセストークンを取得

  21. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 21

  22. ログイン画⾯の無くし⽅ 22

  23. 23 ログイン画⾯がないってどういうこと︖ QRコード 追加 ABCパスタ 投稿 友だち登録 メニューを タップ MENU

    もう認証 されている ようこそ Naomiさん︕

  24. 24 危ないログイン画⾯の無くし⽅ Ø liff.getProfile()で取得したプロフィールをサーバに送信 Ø サーバでそれをそのまま保存

  25. 25 危ないログイン画⾯の無くし⽅ Ø liff.getProfile()で取得したプロフィールをサーバに送信 Ø サーバでそれをそのまま保存 Ø IDをそのまま信⽤してしまっている

  26. 26 危ないログイン画⾯の無くし⽅ Ø liff.getProfile()で取得したプロフィールをサーバに送信 Ø サーバでそれをそのまま保存 Ø IDをそのまま信⽤してしまっている 危ない︕

  27. 27 なぜ危ない︖ Ø IDの漏洩リスク Ø 他のユーザの情報を表⽰する際に漏れるリスク Aさん Bさん Cさん Ranking

  28. 28 なぜ危ない︖ Ø IDの漏洩リスク Ø 他のユーザの情報を表⽰する際に漏れるリスク Ø IDなので変更不能 Ø IDなので暗号論的に安全に⽣成される乱数とは限らない

    Ø ID: 001があるとID: 002もあるかもしれない。 Ø 推測、総当たり可能性

  29. 29 セキュアなログイン画⾯の無くし⽅ Ø LIFFでアクセストークンを取得 Ø アクセストークンをサーバに送信 Ø サーバからLINEにアクセストークンを送りプロフィール取得 Ø 問題なければ認証成功

  30. 30 セキュアなログイン画⾯の無くし⽅ Ø 公式のドキュメントに詳細載ってます

  31. 31

  32. 32 認証成功︕︕ 😀

  33. 33 認証状態を保持したくなる Ø リクエストのたびにLINEに問い合わせたくない Ø 処理が遅くなる。LINEに必要以上の負荷。 LINE Your Server 紹介⽂編集

    LINE Your Server お気に⼊り LINE Your Server 店舗予約

  34. 34 認証状態を保持する⽅法 Ø LIFFでアクセストークンを取得 Ø アクセストークンをサーバに送信 Ø サーバからLINEにアクセストークンを送りプロフィール取得 Ø 認証成功(ここまでは同じ)

    Ø userIDに対してアプリ独⾃のアクセストークンを発⾏ Ø このアクセストークンはLINEとは関係ないもの Ø 2回⽬以降は独⾃のアクセストークンを使って認証

  35. 35 認証状態を保持する⽅法

  36. 36 Create Your App’s Access Token Your App’s Access Token

  37. 37 Authenticate 2回⽬以降のリクエスト Your App’s Access Token OK

  38. 38 Authenticate 2回⽬以降のリクエスト Your App’s Access Token OK 分かったような 分からんような

  39. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 39

  40. 具体的な実現⽅法 40

  41. 41 具体的な実現⽅法 Ø Firebase x LINE Ø Ruby on Rails

    x LINE https://github.com/Arahabica/line-firebase-auth-sample https://github.com/Arahabica/liff-rails-sample https://qiita.com/Arahabica/items/8f5c7472ded92128535f

  42. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 42

  43. Firebase x LINE 43

  44. 44 Firebase x LINEでログイン画⾯を無くす Ø 使⽤技術 Ø Firebase Authentication Ø

    Firebaseの認証機能を⼀⼿に担う Ø 通常はEmail認証やGoogle認証などに対応 Ø カスタムトークン作成機能 Ø Firebase Authenticationの1機能 Ø カスタム認証システムとの統合のための機能

  45. 45 Firebase x LINEでログイン画⾯を無くす Ø 処理の流れ Ø LIFFでアクセストークンを取得 Ø アクセストークンをCloud

    Functions for Firebaseに送信 Ø Cloud Functions for FirebaseでLINEの認証処理 Ø userIdに対応するカスタムトークン作成 Ø クライアントでカスタムトークンを使⽤し、Firebaseにログイン

  46. 実際のコード 46

  47. Ø ⾃⼰紹介 Ø LIFFアプリが流⾏りつつある… Ø LIFFアプリの作り⽅ Ø ログイン画⾯の無くし⽅ Ø 具体的な実現⽅法

    Ø firebase x LINE Ø Ruby on Rails x LINE ⽬次 47

  48. Ruby on Rails x LINE 48

  49. 49 Ruby on Rails x LINEでログイン画⾯を無くす Ø 使⽤技術 Ø Devise

    Ø Railsのデファクトの認証ライブラリ(gem) Ø 認証関連は⾃作する部分はできるだけ減らして、 デファクトを活⽤ Ø devise_token_auth Ø Deviseを利⽤しつつ、APIによる認証を可能にする ライブラリ(gem)

  50. 50 Ø 処理の流れ Ø LIFFでアクセストークンを取得 Ø アクセストークンをサーバに送信 Ø サーバでLINEの認証処理 Ø

    userIdに対応するトークン作成(devise_token_auth) Ø クライアントからサーバにアクセスする時にトークンを ヘッダにつける Ruby on Rails x LINEでログイン画⾯を無くす

  51. 51 devise_token_auth Ø デフォルトはemailによる認証 Ø Emailとパスワードを送信し 認証が成功すると、 Bodyにプロフィールが返り、 Headerにアクセストークンが返る

  52. 52 devise_token_auth Ø 2回⽬以降は Headerにアクセストークンをつけて リクエストすれば、 認証状態を維持できる

  53. 53 devise_token_auth Ø LIFFを使う場合は Emailとパスワードの代わりに、 userId(uid)とアクセストークンを 使って認証する。

  54. 54 devise_token_auth Ø 2回⽬以降はもうLINEは関係ないので 同じようにアクセスできます。

  55. 実際のコード 55

  56. ご静聴ありがとうございました 56