Websocket の認証 (Authentication) について考える
はじめに
以下は Websocket 初心者の筆者が、認証 (Authorization) 付き Websocket 通信を行なうためにどうやったら良いのか、を調べたメモ書きです。 日本語や英語で調べても、どんなやり方があって実際どうやればいいのか、まとめて書いているページが見当たらなかったので調べて見つかったそれっぽいものを書いています。
実運用などしているわけではなく完全な初心者です。間違っている内容もある可能性が高いことを前提のうえで読んでください。
そもそもの話
認証とは
リクエストしているユーザが何者なのかを判定する操作のこと。今回考えるのはウェブのAPIである。この場合APIへリクエストを送ってきているユーザが誰かを判定することが相当する。
通常のエンドポイント (http / https) であればリクエストのセッションを使ったり、あるいは JWT (Json Web Token) を header に入れてリクエストしてもらいサーバー側で header を解析して、正当な Token であることを確認できた時だけその token に記録されているユーザとみなす操作が該当する。
Websocket とは
サーバーとのやり取りの方法 (プロトコル) の一つ。並列な概念が http。
httpと異なる点として
- 双方向通信が低コストで行える。
- はじめにコネクションを確立し、2回めからはコネクション上で通信を行なうため通信が軽い。
- ステートフルである(今までのリクエストに依存して結果が変わる。反対にhttpはステートレス。)
と言ったことが挙げられる。
webcoket が活躍するのはイベントが発生した時に、クライアントとサーバーとで双方向にやり取りを頻繁に行いたい場合である。
例えばチャットアプリを考えよう。自分が発言した内容がサーバに送られて保存されることはもちろん必要であるが、他のユーザが発言した時にそれをリアルタイムに知りたいであろう。この場合 http であるとクライアント側からサーバーに一定時間おきに新しいメッセージがないかどうかを確認する方法しか取ることができない。また http の通信は重たいので、サーバのコストも大きい。
一方で websocket では新しいメッセージがサーバに届いた時、サーバ側からクライアントへ「メッセージが着ましたよ」という通知を送ることができ、クライアント側からいちいち確認をすることなく、最新のメッセージの有無を確認することができる。
Websocket に対しての認証
websocket ではコネクションを確立する必要があるが、一般のアプリケーションでは誰にでもコネクションを張られると困る場合が多い。
たとえば上記のチャットで言うと、後悔されていないルームであれば、許可された人しか入れないようにしたいだろう。この場合はじめにリクエストしている人が誰なのか (== 認証)を確認してから、そいつがルームへのアクセスを出来るかどうかを確認する (== 承認)する手続きが必要である。したがって、コネクションを張ってデータを流すタイミングまでに必ず認証のフェーズを踏む必要がある。
解決する方法の一つとして WebSocket のセキュリティ#認証/承認 にて提案されているのがチケットベースの認証方法である。以下に抜粋する。
- クライアント側のコードが WebSocket を開くよう決定すると、承認「チケット」を得るため HTTP サーバーに接続します。
- HTTP サーバーはこのチケットを作成します。チケットに一般に含まれるのは、何らかのユーザー/アカウント ID、チケットを要求しているクライアントの IP、タイムスタンプ、そして必要となる他のあらゆる内部記録管理です。
- サーバーはこのチケットを (データベースあるいはキャッシュ内に) 保管して、クライアントにも返します。 クライアントは WebSocket 接続を開き、この「チケット」を初期ハンドシェイクの一環として送ります。
- するとサーバーはこのチケットを比較し、ソース IP を調べて、チケットが再使用されておらず失効していないことを確認して、他のあらゆる権限チェックを行います。すべてがうまくいくと、今度は WebSocket 接続が検証されます。
要するにユーザを同定できるチケット (以下では token と呼ぶ) をAPIサーバからもらい、websocket の通信時にそれを使ってユーザを特定する、という流れになる。
このチケット型の方法を使おう!となって実装しようと思った時、やり方としては大きくわけて2つの方法があると考えられる。
- コネクション確立タイミングと同時に token を送信する方法
- コネクション確立後に token を送信する方法
1. コネクション確立タイミングと同時に token を送信する方法
これは websocket の通信が始まる段階でサーバーに認証に必要な情報を送信する方法である。通常の rest api のように Authorization Header を使えば OK に見えるが、残念ながら Websocket には header が存在しない。ため他の方法を使う必要がある。
1.1 URL の query parameter を使う方法
これは単純に Websocket の URI にクエリパラメータとして token を載せる方法である。
WebSocket("wss://.../?token=my-awesome-token")
- メリット
- 簡単に実装できる
- デメリット
- ウェブサーバーの log には uri が記録される場合が多いため、利用する token の有効期限などに注意する必要があると思われる。
とても単純で、サーバ側の処理も比較的簡単にかけるためこの方法が紹介されている例はウェブ上を検索するといくつか見つかる。
- WebSockets - Part One (websocket でアプリケーション作ろうのチュートリアル。query parameter に入れてる。): https://testdriven.io/courses/real-time-app-with-django-channels-and-angular/part-one-websockets-part-one/
1.2 Sec-WebSocket-Protocol
を使う方法
これは Websocket の protocol option に token を設定する方法である。
WebSocket("wss://...", "awesome-token")
- メリット
- URL をみても乗っ取りはできない。
- デメリット
- なんだろう… 少なくとも query parameter で送るよりは見えにくいし安心感はあるきはする。とはいえ wss でないと header 部分は見えちゃうしお気持ち程度か。
- token の有効期限に応じてコネクションを閉じるとかはかかないと駄目かも。
2. コネクション確立後に token を送信する方法
これは一度コネクションは確立してしまって、次の送信で token を送ってもらいその情報を元にして認証を行なう方法。twitter でぼやっとつぶやいたら、教えてくれました。
WebSocket の接続を開いた後のメッセージのやり取りでペイロードとして送るやり方もありそうですね。使い捨てとはいえセッション ID にも近い概念なので、query parameter で送るよりもそちらの方が直感的には安全マージンが大きそうな気がしました。
— もみじあめ (@momijiame) 2021年5月11日
- メリット
- セキュリティ的に安心安全: token の送信は connection が張られたあとに行われるので、URIなど見やすいログには残らない
- デメリット
- 実装がめんどくさいかもしれない(お気持ち程度)
- Websocket ではコネクション時の動作が特別なので、コネクション時に動かす関数がサーバ側のライフサイクルの一つとして定義されている場合が多い。したがってコネクション時の判定はわりとロジックとして書きやすい。
- 一方メッセージ送信の最初だけ判定となると、メッセージ受け取り部分で条件分岐などをして認証を行なうロジックを動作させる必要があり、若干冗長になるかもしれない (お気持ち程度だけれど)。までもメリットのほうが強いよね。
- 実装がめんどくさいかもしれない(お気持ち程度)
ちょっと違うけれど、例えば Authenticating Websockets では各メッセージごとに認証を通す方法 (Authentication In Each Message
のセクション) なども紹介されている。
The second strategy is to include authentication in each message. In this model the client adds a property to the sent object that includes the JWT.
この場合だと token の有効期限とかは自然に対応できそう。もちろん毎回チェックするのでサーバのコストは高くなるのと、受け取り手のチェックはできない (今つながっているやつらは信じるしかない) ので、送る方だけ厳密になるイメージかな? これも割と良さそう。
参考資料
- WebSocket サーバーの記述: https://developer.mozilla.org/ja/docs/Web/API/WebSockets_API/Writing_WebSocket_servers
- Websocket の通信がどのように行われるか平易にかかれたドキュメント。
- WebSocket のセキュリティ: https://devcenter.heroku.com/ja/articles/websocket-security
- Websocket をつかったアプリケーションを構築する場合にやってはだめなことが記載されている heroku のドキュメント。heroku を使わない場合でも気にしないと駄目なことが書いてあるので、助かります。