トークン生成

トークンせいせい（Web開発とセキュリティ）

意味 CSRF対策の一手法

トークン生成とは？

トークン生成は、CSRF（クロスサイトリクエストフォージェリ）攻撃を防ぐための重要な手法です。ランダムで予測困難な文字列（トークン）を生成し、フォームに埋め込むことで、正規のユーザーからのリクエストであることを確認します。

トークン生成の具体的な使い方

CSRF対策の例

session_start();

// トークンの生成と保存
$token = bin2hex(random_bytes(32));
$_SESSION['csrf_token'] = $token;

// フォームの生成
echo '<form method="POST" action="process.php">';
echo '<input type="hidden" name="csrf_token" value="' . $token . '">';
echo '<input type="submit" value="送信">';
echo '</form>';

// 送信後の処理（process.php内）
if ($_SERVER['REQUEST_METHOD'] === 'POST') {
    if (!hash_equals($_SESSION['csrf_token'], $_POST['csrf_token'])) {
        die('不正なリクエストです');
    }
    // 正常な処理
    echo 'フォームが正常に送信されました';
}

この例では、CSRFトークンの生成、フォームへの埋め込み、そして送信後の検証プロセスを示しています。まず、32バイトのランダムなデータを生成し、16進数の文字列に変換してトークンとします。このトークンをセッションに保存し、フォームのhiddenフィールドとして埋め込みます。フォーム送信時には、POSTされたトークンとセッションに保存されたトークンを比較し、一致しない場合はリクエストを拒否します。これにより、CSRF攻撃を効果的に防ぐことができます。

トークン生成に関するよくある質問

Q. CSRFトークンとは何ですか？

A. CSRFトークンは、クロスサイトリクエストフォージェリ（CSRF）攻撃を防ぐためのランダムな文字列です。各セッションやフォーム送信ごとに一意のトークンを生成し、サーバー側で検証することで、正規のユーザーからのリクエストであることを確認します。

Q. トークンはどこに保存すべきですか？

A. トークンは通常、サーバー側のセッションに保存します。クライアント側では、フォームの hidden フィールドや、JavaScriptを使用する場合はHTTPヘッダーに含めて送信します。これにより、クライアントとサーバー間でトークンを安全に共有できます。

Q. トークンの検証はどう行いますか？

A. トークンの検証は、フォーム送信時にサーバー側で行います。セッションに保存されたトークンと、POSTリクエストで送信されたトークンを比較します。PHP 5.6以降では、hash_equals()関数を使用して安全に比較することができます。トークンが一致しない場合は、リクエストを拒否します。

トークン生成が学べる書籍の紹介

「プログラミング単語帳」を使って、プログラミングの単語を英単語のように学習してみませんか？
プログラミング単語帳には、PHPのトークン生成やheader()、リクエストメソッド、session_destroy()、などのような実務でよく使われる単語が数百以上収録されています。
この書籍には、プログラミングの単語の意味や読み方、単語の使い方がわかる例文などが掲載されており、いつでもどこでもプログラミングの学習ができます。

よく使われる単語にだけ絞って学習することができるので、効率的にプログラミングが学習できます。