Google AuthenticatorとLaravelの2FA-安全になりましょう!
Google Authenticatorの2段階の検証強化されたLaravelアプリケーションセキュリティのための検証
この記事では、Google AuthenticatorをLaravelアプリに統合して2要素認証(2FA)を実現し、アプリケーションセキュリティを大幅に改善する方法を導きます。
コアポイント:
- Google AuthenticatorとLaravelを使用して2FAを実装し、アカウントのセキュリティを強化するためにパスワードとデバイスで生成された検証コードの2要素検証が必要です。
- Google Authenticatorタイムベースのワンタイムパスワード(TOTP)アルゴリズムは、ネットワーク接続なしでオフラインで動作するもので、ネットワークに依存する他の2FAメソッドよりも優れています。
- セットアッププロセスには、Composerを使用した特定のパッケージの追加、Laravel構成の更新、データベースの移行の変更に2FAキーを安全に保存することが含まれます。
- アプリケーションプロセスには、2FAを有効、無効化、検証するルートとコントローラーが含まれ、ユーザーが認証設定をスムーズに管理できるようにします。 2FAを有効にするには、キーを生成し、ユーザーがスキャンする必要があるQRコードを表示し、暗号化キーをデータベースに保存します。
- ルートが現在の制限メカニズムを使用してブルートフォース攻撃を防ぎ、IPアドレスに基づいて1分あたりの試行回数を5回に制限することを確認します。
この記事に貢献してくれたSitePointのピアレビュアーJad Bitar、Niklas Keller、Marco Pivetta、Anthony Chambersに感謝します!
攻撃者は、ソーシャルエンジニアリング、キーボードロガー、その他の悪意のある手段など、さまざまな方法でユーザーのパスワードを取得できます。パスワードだけでは、特に攻撃者が資格情報を取得した場合、ユーザーアカウントを侵入から保護するのに十分ではありません。
このセキュリティの欠陥を克服するために、2要素認証(2FA)が生まれました。単一のパスワード(最初の要因)では、ユーザーの身元を確認するには十分ではありません。 2FAの哲学は、ユーザーが「持っているもの」(2番目の要因)と「彼らが知っているもの」(最初の要因)の両方を使用する必要があるということです。パスワードはユーザーが知っていることです。 「彼らが持っているもの」は、生体認識(指紋、音声、虹彩スキャン)など、さまざまな形である可能性がありますが、これらのソリューションにはコストがかかります。一般的に使用される別の2番目の要因は、時間ベースのワンタイムパスワード(OTP)です。これは、デバイスによって生成され、一度に有効です。 OTPは、主にカウンタータイプと時間の種類に分割されます。 2FAの使用は、攻撃者がパスワードと2番目の要因の両方を取得することが困難であるため、ユーザー名とパスワードのみを使用するよりも安全です。
このチュートリアルでは、LaravelとGoogle Authenticatorを使用して、Webアプリケーションに2FAを実装する方法を示します。 Google Authenticatorは、時間ベースのワンタイムパスワード(TOTP)アルゴリズム(RFC 6238)の実装にすぎず、業界標準はさまざまな2FAソリューションで広く使用されています。 Google Authenticatorには、スマートフォンにダウンロードした後にオフラインで使用できるという利点がありますが、他の多くの2FAソリューションには、テキストメッセージの送信、通知、音声通話などのネットワーク接続が必要です。これは、携帯電話が外部ネットワーク(地下室にあるオフィスなど)に接続できないユーザーには適用されません。
TOTP Works:サーバーはキーを生成し、ユーザーに渡します。このキーは現在のUNIXタイムスタンプと組み合わされて、キーベースのハッシュメッセージ認証コード(HMAC)アルゴリズムを使用して6桁のOTPを生成します。この6桁の数は30秒ごとに変化します。
設定:
ホームステッド
この記事では、Laravel Homesteadがインストールされていると想定しています。必須ではありませんが、異なる環境を使用するとコマンドはわずかに異なる場合があります(PHP 7が必要です)。 Homesteadに慣れていないが、この記事と同様の結果を得たい場合は、Homesteadを設定する方法を学ぶためにSitePointの記事を参照してください。
作曲家
新しいLaravelプロジェクトを作成します:
composer create-project --prefer-dist laravel/laravel Project cd Project
作曲家を使用してPHPバージョンのLaravelを含め、ライブラリを一定の時間にインストールしますBase32エンコーディング:
composer require pragmarx/google2fa composer require paragonie/constant-time-encoding
config/app.php配列にPragmaRXGoogle2FAVendorLaravelServiceProvider::class配列に追加し、providersアレイに'Google2FA' => PragmaRXGoogle2FAVendorLaravelFacade::classを追加します。 aliases
Laravelは、基本的なユーザー登録、ログインなどに必要なすべてのコントローラー、ビュー、およびルートをすばやく作成するための足場機能を提供します。
足場を使用して、ログインと登録インターフェイスをすばやく構築します。
auth
php artisan make:auth
データベースとモデル
ユーザーのレコードに1回限りのパスワードを作成するために使用されるキーを保存する必要があります。これを行うには、新しいデータベース列の移行を作成します。
新しく作成された移行ファイル(
フォルダー、たとえばphp artisan make:migration add_google2fa_secret_to_users
database/migrations移行を実行してデータベーステーブルをセットアップします:2016_01_06_152631_add_google2fa_secret_to_users.php
<?php
use Illuminate\Database\Schema\Blueprint;
use Illuminate\Database\Migrations\Migration;
class AddGoogle2faSecretToUsers extends Migration
{
public function up()
{
Schema::table('users', function (Blueprint $table) {
$table->string('google2fa_secret')->nullable();
});
}
public function down()
{
Schema::table('users', function (Blueprint $table) {
$table->dropColumn('google2fa_secret');
});
}
}テーブルに追加されました。
モデルを更新して、セキュリティを強化する必要があります。デフォルトでは、プログラムがphp artisan migrate
を開いて、 ...(後続の手順は元のテキストに似ていますが、言語と式が調整され、元のテキストが変更されていないことを除きます。スペースの制限により、残りのコードと説明はここで省略されますが、元のテキストに従って、手順とコードを補足します
テスト:
デフォルトでは、ログインプロセスとTOTPセットアッププロセスはHTTPSを介して実行されません。生産環境では、httpsを介して必ず実行してください。 この記事では、認証中のセキュリティを強化するために1回限りのパスワードを追加する方法を示し、LaravelでGoogle Authenticatorを使用して2FAを実装する方法を段階的に説明します。 google2fa_secretプロパティに追加します。 users
以上がGoogle AuthenticatorとLaravelの2FA-安全になりましょう!の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。
ホットAIツール
Undresser.AI Undress
リアルなヌード写真を作成する AI 搭載アプリ
AI Clothes Remover
写真から衣服を削除するオンライン AI ツール。
Undress AI Tool
脱衣画像を無料で
Clothoff.io
AI衣類リムーバー
Video Face Swap
完全無料の AI 顔交換ツールを使用して、あらゆるビデオの顔を簡単に交換できます。
人気の記事
ホットツール
メモ帳++7.3.1
使いやすく無料のコードエディター
SublimeText3 中国語版
中国語版、とても使いやすい
ゼンドスタジオ 13.0.1
強力な PHP 統合開発環境
ドリームウィーバー CS6
ビジュアル Web 開発ツール
SublimeText3 Mac版
神レベルのコード編集ソフト(SublimeText3)
ホットトピック
7807
15
1646
14
1402
52
1300
25
1236
29
JSON Web Tokens(JWT)とPHP APIでのユースケースを説明してください。
Apr 05, 2025 am 12:04 AM
JWTは、JSONに基づくオープン標準であり、主にアイデンティティ認証と情報交換のために、当事者間で情報を安全に送信するために使用されます。 1。JWTは、ヘッダー、ペイロード、署名の3つの部分で構成されています。 2。JWTの実用的な原則には、JWTの生成、JWTの検証、ペイロードの解析という3つのステップが含まれます。 3. PHPでの認証にJWTを使用する場合、JWTを生成および検証でき、ユーザーの役割と許可情報を高度な使用に含めることができます。 4.一般的なエラーには、署名検証障害、トークンの有効期限、およびペイロードが大きくなります。デバッグスキルには、デバッグツールの使用とロギングが含まれます。 5.パフォーマンスの最適化とベストプラクティスには、適切な署名アルゴリズムの使用、有効期間を合理的に設定することが含まれます。
セッションのハイジャックはどのように機能し、どのようにPHPでそれを軽減できますか?
Apr 06, 2025 am 12:02 AM
セッションハイジャックは、次の手順で達成できます。1。セッションIDを取得します。2。セッションIDを使用します。3。セッションをアクティブに保ちます。 PHPでのセッションハイジャックを防ぐための方法には次のものが含まれます。1。セッション_regenerate_id()関数を使用して、セッションIDを再生します。2。データベースを介してストアセッションデータを3。
確固たる原則と、それらがPHP開発にどのように適用されるかを説明してください。
Apr 03, 2025 am 12:04 AM
PHP開発における固体原理の適用には、次のものが含まれます。1。単一責任原則(SRP):各クラスは1つの機能のみを担当します。 2。オープンおよびクローズ原理(OCP):変更は、変更ではなく拡張によって達成されます。 3。Lischの代替原則(LSP):サブクラスは、プログラムの精度に影響を与えることなく、基本クラスを置き換えることができます。 4。インターフェイス分離原理(ISP):依存関係や未使用の方法を避けるために、細粒インターフェイスを使用します。 5。依存関係の反転原理(DIP):高レベルのモジュールと低レベルのモジュールは抽象化に依存し、依存関係噴射を通じて実装されます。
phpstormでCLIモードをデバッグする方法は?
Apr 01, 2025 pm 02:57 PM
phpstormでCLIモードをデバッグする方法は? PHPStormで開発するときは、PHPをコマンドラインインターフェイス(CLI)モードでデバッグする必要がある場合があります。
PHP 8.1の列挙(列挙)とは何ですか?
Apr 03, 2025 am 12:05 AM
php8.1の列挙関数は、指定された定数を定義することにより、コードの明確さとタイプの安全性を高めます。 1)列挙は、整数、文字列、またはオブジェクトであり、コードの読みやすさとタイプの安全性を向上させることができます。 2)列挙はクラスに基づいており、トラバーサルや反射などのオブジェクト指向の機能をサポートします。 3)列挙を比較と割り当てに使用して、タイプの安全性を確保できます。 4)列挙は、複雑なロジックを実装するためのメソッドの追加をサポートします。 5)厳密なタイプのチェックとエラー処理は、一般的なエラーを回避できます。 6)列挙は魔法の価値を低下させ、保守性を向上させますが、パフォーマンスの最適化に注意してください。
システムの再起動後にUnixSocketの権限を自動的に設定する方法は?
Mar 31, 2025 pm 11:54 PM
システムが再起動した後、UnixSocketの権限を自動的に設定する方法。システムが再起動するたびに、UnixSocketの許可を変更するために次のコマンドを実行する必要があります:sudo ...
PHPでの後期静的結合を説明します(静的::)。
Apr 03, 2025 am 12:04 AM
静的結合(静的::) PHPで後期静的結合(LSB)を実装し、クラスを定義するのではなく、静的コンテキストで呼び出しクラスを参照できるようにします。 1)解析プロセスは実行時に実行されます。2)継承関係のコールクラスを検索します。3)パフォーマンスオーバーヘッドをもたらす可能性があります。
