Garden

最近の記事

JWTの正しさを証明するのは誰?

8 min read

Prompt

JWTの正しさを証明するのは誰?

JWT(JSON Web Token)の正しさを証明する役割は、主に**検証者(Verifier)と、その基盤となる秘密鍵(Secret Key)または公開鍵(Public Key)**によって担われるよ。

これは、JWTが持つデジタル署名の仕組みによって成り立っているんだ!🚀

🔑 1. JWTの正しさを証明する主体

JWTの検証プロセスにおいて、正しさを証明する役割を担うのは、認証サーバーではなく、**データを受け取った側(リソースサーバーやAPI)**だよ。

役割説明
検証者(Verifier)リソースサーバー(君が作ったNext.jsのAPIなど)。クライアントから送られてきたJWTを受け取り、その署名を検証する主体。
署名者(Signer)認証サーバー(IDプロバイダー)。JWTを発行する際に、トークンにデジタル署名を付与する主体。

💡 署名の検証

検証者は、以下のプロセスを経て「このJWTは正しい」と証明するんだ。

  1. トークンの分割: 受け取ったJWTを3つの部分(ヘッダー、ペイロード、署名)に分割する。

  2. 署名鍵の取得: 認証サーバーから事前に受け取った**秘密鍵(HMACの場合)または公開鍵(RSAの場合)**を取得する。

  3. 再計算: 受け取ったヘッダーとペイロードを、取得した鍵と指定されたアルゴリズム(例: HS256, RS256)を使って自分自身で署名を再計算する。

  4. 比較: 再計算した署名と、トークンに付与されていた署名が完全に一致するかを比較する。

一致すれば、「このトークンは本物であり、発行後に改ざんされていない」と証明されるんだ。

2. 正しさの証明に必要な要素

証明に必要な要素は、JWTの署名アルゴリズムによって異なるよ。

A. 共通鍵方式 (HMAC - 例: HS256)

  • : 秘密鍵(Secret Key)

  • 証明の主体: トークン発行者と検証者が同じ秘密鍵を共有していること。

  • 特徴: 鍵が一つしかないのでシンプルだけど、鍵が漏洩すると全てのトークンが偽造可能になるリスクがある。

B. 公開鍵方式 (RSA/ECDSA - 例: RS256)

  • : 公開鍵(Public Key)

  • 証明の主体: 検証者は、トークン発行者が公開している公開鍵を使って署名を検証する。

  • 特徴: 認証サーバーは秘密鍵を安全に保管し、検証者には検証専用の公開鍵だけを渡すため、よりセキュアな方法とされているよ。

つまり、JWTの正しさの証明は、**サーバーが秘密裏に知っている情報(鍵)**によって保証されているんだね!

Prompt

そして今は、割とJWTを発行する認証サーバーは自身でもつ必要はなくなってきて、開発者はそのJWTを検証するだけでよくなってきている?

その通り、君の観察は現代の認証・認可システムのトレンドを完璧に捉えているよ!🎉

まさに今、開発者は**「JWTを発行する認証サーバーを自身で構築・運用する必要」から解放され、「受け取ったJWTを検証するだけ」**に集中するようになってきているんだ。

🔑 認証サーバーを「持たない」トレンドの背景

このトレンドを推進しているのは、**「認証・認可(AuthN/AuthZ)の専門化」「サーバーレス・マイクロサービスアーキテクチャへの移行」**だよ。

1. AuthN/AuthZの専門サービスへのオフロード

  • 課題: 認証サーバーの自作は、パスワードのハッシュ化、トークンの暗号化、セッション管理、そして**セキュリティ対策(特に重要!)**など、非常に複雑で専門的な知識とメンテナンスが必要です。

  • 解決策: IDaaS (Identity as a Service) と呼ばれる専門サービスが登場し、認証の全責任を請け負うようになりました。

    • 代表例: Auth0, AWS Cognito, Google Firebase Authentication など。

  • 開発者のメリット: 開発者は、ユーザー名/パスワードの管理やログインフローの実装をすべてこれらのサービスに任せ、自分たちのアプリケーション固有のビジネスロジックの実装に集中できます。

2. マイクロサービスとAPIの進化

  • 以前: モノリシックなアプリケーションでは、Webサーバーがログイン処理とリソース提供の両方を担っていた。

  • 現在: アプリケーションがマイクロサービス化し、APIが独立すると、各API(リソースサーバー)はユーザーのセッションやパスワードを知る必要がなく、**「このリクエストが有効なユーザーから来たかどうか」**だけを知れれば良い。

  • JWTの役割: JWTは、ユーザー情報と有効期限、署名情報など、必要な認証情報をすべて自己完結させているため、外部に状態を問い合わせることなく、各APIが**ローカルで検証(自己検証)**できる。これにより、APIの設計が非常にシンプルになるんだ。

🛠️ 開発者が行うべきこと(検証の役割)

開発者の役割は、認証サーバーの構築からリソースサーバー(API)の保護へとシフトしたんだ。

  1. JWTの受領: クライアントから送られてきたJWTを受け取る。

  2. 有効性の検証:

    • 署名の検証: IDaaSが発行した公開鍵を使用して、トークンが改ざんされていないか確認する。

    • 期限の確認: トークンが期限切れでないか(expクレーム)を確認する。

  3. 認可 (Authorization): トークン内のペイロード(例:roleuser_id)を読み取り、このユーザーが**「このリソースへのアクセス権があるか」**を判断する。

これにより、開発者はJWTの発行という**「認証」の煩雑な部分を外部サービスにオフロードし、「検証と認可」**という必要な部分だけに注力できるようになるんだね!👍

グラフビュー

最近の記事

グラフビュー