レンタルサーバー・自宅サーバー設定・構築のヒント
レンタルサーバー・自宅サーバー設定・構築のヒント - レンタルサーバー・自宅サーバーの設定・構築情報を公開しています。

Nginx で一時的なセキュアなリンクを使ってみる(secure_link,secure_link_md5ディレクティブを使ってみる)

2013年5月24日 2015年5月15日
nginx link secure

Nginx でBasic認証(ユーザ名、パスワードを求める )するには では、セキュリティアップのための NginxでのBasic認証(ユーザ名、パスワードを求める )について書きました。
今回は、そのBasic認証によるユーザ、パスワードの認証までは必要ないけど、下手に直リンクされたくないアドレスや、直アドレスでアクセスされたくないページへのアドレスなどがあると思います。
例えば良くあるのは、会員登録ページで登録作業を行った後、登録メールアドレスへ登録確認のメールが届くことがあると思います。よくあるのが、以下のようなメールでしょう。

以下のお客様のメールアドレスが仮登録されています。
xxxx@example.com

この電子メール アドレスがご本人のものであることを確認する必要があります。

下のリンクをクリックしてアカウントを確認してください。
https://example.com/register/check.cgi?id=….

このURLの有効期限は24時間です。
24時間を超えますと、手続きの情報は自動削除され、
最初からご登録をやり直していただく必要がございます。

よろしくお願いいたします。

このメールを受け取り、指定されているURLへアクセスすれば、自動的にメールアドレスの認証が完了し、 めでたく会員登録が完了するような仕組みになっています。

この時のURLアドレスが、ここで扱う一時的なセキュアなリンクになります。
これ以外にも、オープンにはしているけれども、下手に外部から直接アクセスされたくない文書ファイルや画像ファイルなども この一時的なセキュアなリンクでページにリンクを作成しておけば、外部からの直接的なアクセスを回避することができます。

Nginxでは、このような一時的なセキュアなリンクを認証するための secure_link ディレクティブと secure_link_md5 ディレクティブ が用意されています。(HttpSecureLinkモジュール)。
今回は、それらのディレクティブを使って Secure Linkを認証してみましょう。

Nginx で扱えるセキュアなリンクを作成する

あくまで、Nginx では、URLのアドレスおよび URLパラメータ 情報から認証を行うだけです。
実際のURLアドレスおよび URLパラメータ は、phpスクリプトなどの外部の動的なページなどで作成する必要があります。

ここでは、phpを用いて動的なページで 一時的なセキュアなリンク を作成してみます。
以下は、例として http://exmaple.com/securelink.php でアクセスできる securelink.php ファイルとします。
また、http://exmaple.com/secure/ へのアクセスは、セキュアなリンクからのみを許容し、以外をすべて403を返信するものとします。

<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<title>Test SecureLink</title> 
<meta http-equiv="content-type" content="text/html; charset=utf-8" /> 
</head>
<body>

<?php
// 秘密鍵 になります。なんでもOKですので、ここでは日本語(UTF-8)で設定してみます。
$secret = '日本語でもOK?';
// セキュアなリンク からでないとアクセスできないURIを設定します。
$path   = '/secure/';
// 公開鍵として、有効期限を time() + 秒 で設定します。
// -- この有効期限の設定の仕方は、Nginxではこの方法でしか認識できません。
$timestamp = time() + 3600; // 60(秒) x 60(分) = 3600(秒) = 1(時)
 
// "秘密鍵 + パス + 公開鍵" を Nginxで扱うことができる md5 で暗号化します。
$hash = base64_encode(md5($secret . $path . $timestamp, true));
// +,/,= は、URLパラメータとして扱えないので、置換します。
$hash = strtr($hash, '+/', '-_');
$hash = str_replace('=', '', $hash);

//  セキュアなリンクを出力します。
$url = "{$path}?s={$hash}&t={$timestamp}";
echo '<a href="'.$url.'">シークレットリンク</a>';
?>

</body>
</html>

ここでの例では、http://exmaple.com/securelink.php へアクセスすると以下のようなシンプルなリンクだけのページが表示されるはずです。

セキュアなリンク

<a href="/secure/?s=9TYDMnkdAZ_9VM3OQjMGjQ&t=1369388653">シークレットリンク</a>

上記のようなリンクを出力します。


次に、ここでの例では、http://exmaple.com/secure/ へアクセスした際に、認証OKの場合に出力されるべきページを準備しておきます。
以下の例は、ファイル名省略なので、http://exmaple.com/secure/index.html でアクセス可能な index.html ファイルとします。

<pre lang="php" escaped="true">
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" 
  "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> 
<html xmlns="http://www.w3.org/1999/xhtml"> 
<head> 
<title>Test SecureLink</title> 
<meta http-equiv="content-type" content="text/html; charset=utf-8" /> 
</head>
<body>
<h1>おめでとうございます。</h1>
<p>おめでとうございます。<br />
あなたは、見事にこのページを見ることができました。
</p>
</body>
</html>

このページが表示されれば、以下のような文言のページが表示されるはずです。

セキュアなリンクから表示されるであろうページ

Nginx でsecure_link、secure_link_md5ディレクティブ を使ってみる

Nginxで先のセキュアなリンクを正しいか否かを判断するには、secure_linksecure_link_md5 2つのディレクティブを使用することになります。

secure_link : セキュアなリンク情報(URI,URLパラメータ)から、認証に使用する情報を設定します。
secure_link_md5 : セキュアなリンク情報(URI,URLパラメータ)および秘密鍵から、 md5 で暗号化した情報を作成します。 ここで作成した情報が、先の secure_link で設定した情報と一致するか否かによって認証を行います。

まずは、これらのディレクティブを使ってみましょう。
編集するのは、server ディレクティブが設定されているファイルになります。ここでの例は、/etc/nginx/nginx.conf とします。

...
http {
    ...
    server {
        listen       80;
        root /var/www/html;
        server_name example.com;
        ...
        index  index.php index.html index.htm;
        ...
        location /secure/ {
            # MD5暗号化情報 公開鍵(有効期限)情報を認証情報として設定します。
            # -- URLパラメータ s=XXXX , t=YYYY をそれぞれ設定しています。
            secure_link $arg_s,$arg_t;
            
            # 秘密鍵 + URI + 公開鍵(有効期限)でMD5暗号化情報を作成します。
            # -- 先に設定された認証情報との比較結果が $secure_link へ出力されます。
            secure_link_md5 日本語でもOK?$uri$arg_t;
            
            # 認証結果が MD5暗号化情報の不一致なら $secure_link は何も設定されません。
            # -- この場合、アクセス制限の 403 を返信します。
            if ($secure_link = "") {
                return 403;
            }
            # 認証結果が 有効期限切れなら $secure_link に 0 が設定されます。
            # -- この場合、アクセス制限の 403 を返信します。
            if ($secure_link = "0") {
                return 403;
            }
            ...
        }
        ...
        # phpが動作するように設定します。
        location ~ \.php$ {
            fastcgi_pass            127.0.0.1:9000;
            fastcgi_index           index.php;
            fastcgi_param           SCRIPT_FILENAME  $document_root$fastcgi_script_name;
            include                 fastcgi_params;
        }
        ...
    }
    ...
}
形式 : secure_link md5_hash[,expiration_time]
md5_hash : URI あるいは URLパラメータ情報の MD5暗号化情報 を指定します。
expiration_time : URI あるいは URLパラメータ情報の 有効期限情報 を指定します。省略可で、省略時は、無期限と判断されます。

形式 : secure_link_md5 secret_token_concatenated_with_protected_uri
secret_token_concatenated_with_protected_uri : URL および URI 、URLパラメータ情報などの羅列で、ここで指定された情報から MD5暗号化情報 が作成されます。
つまり、先のphpスクリプトでセキュアなリンクを作成した情報の手順および順序と全く同じ手順および順序でなければなりません。

また、ここで、先の secure_link ディレクティブ の md5_hashで指定された情報と比較されます。 そのmd5_hash情報とここで作成される MD5暗号化情報 が不一致の場合、$secure_linkはブランクが設定されます。

さらに、先の secure_link ディレクティブ の expiration_timeで指定された日付情報と現在日時から有効期限の判定も行われます。 有効期限が過ぎている場合、$secure_linkは 0 が設定されます。

ここでは、日本語を編集していますので、必ず、文字コードをUTF8で保存しましょう。 これを間違えるとNginxの起動で失敗します。

上記のように設定、編集を終えたら、Nginxにて再読み込みを行います。

$ /etc/init.d/nginx reload
...

最後に確認してみる

先の例では、以下のような順番でアクセスすれば正しく表示できるはずです。

  1. http://exmaple.com/securelink.php へアクセスする
    セキュアなリンク
  2. “シークレットリンク” をクリックする

    以下の画面が表示されればOKです。

    セキュアなリンクから表示されるであろうページ

    また、失敗した場合は、以下のような画面が表示されるはずです。

    セキュアなリンクから表示NGとなった例

    もちろん、直に http://exmaple.com/secure/ へアクセスしても上記の403エラーが出力されます。

    上記の設定例では、時間切れが1時間後となりますから、うまく表示できていたURLを1時間後にアクセスしてみてください。
    同じように、403エラーが出力されるはずです。

    一瞬ですが、この公開鍵(有効期限)は、誰でも作れますから、これが、なんでセキュアなの?なんて思うかもしれません。
    つまり、最初に出力されたリンクの公開鍵(有効期限)だけを書き換えれば、永遠に使えるんじゃないの?なんて思うかもしれません。
    <!-- 最初に出力されたリンク情報が以下のようなものだったとしましょう。 -->
    <a href="/secure/?s=9TYDMnkdAZ_9VM3OQjMGjQ&t=1369388653">シークレットリンク</a>
    
    <!-- これを URLパラメータの t を勝手に更新した数字へ変更してみます。 -->
    <a href="/secure/?s=9TYDMnkdAZ_9VM3OQjMGjQ&t=1369400000">シークレットリンク</a>
    この編集したリンクをクリックしても、ちゃんと403エラーが出力されます。
    当たり前ですよね、これは、MD5の暗号情報の中に公開鍵(有効期限)も埋め込まれているので、そこで不一致となりはじかれます。
    MD5の暗号情報を作成する php コード でも Nginxでの secure_link_md5 ディレクティブでも この 公開鍵(有効期限)を埋め込んでいるのがポイントです。

いかがだったでしょうか?
このセキュアなリンクって、意外と多いんですよね。
これは、認証もPHPでやれますから、Nginxでやる意味は、クラック対応、負荷対応になるんでしょうね。
情報の順番等々、簡単な間違いがなければ、それほど難しいものでもないので、必要な方は、是非、おすすめしたいところです。
ご利用のブラウザは、広告ブロック(AdBlockなど) が適用となっていませんか?
このサイトでは、コンテンツの一部が非表示、あるいは、コメント、お問い合わせの投稿ができない検索ができないことがあります。


関連記事 :

Nginx で一時的なセキュアなリンクを使ってみる(phpで自力で認証してみる)

Nginx で一時的なセキュアなリンクを使ってみる(secure_link,secure_link_md5ディレクティブを使ってみる) では ...

nginx で WebDAVを使ってファイル共有してみる

今回は、nginx で WebDAVを使ってファイル共有してみます。 ( Apache 版は、apache で WebDAVを使ってファイル共 ...

nginx でPseudo streaming(疑似ストリーミング)で動画配信を行ってみる(flv、mp4ディレクティブを使ってみた)

nginx では、動画を制御するための ディレクティブとして flv,mp4 が用意されています。 flv,mp4 の両ディレクティブ ...

HTMLからXHTML1.0 or XHTML1.1への移行するためのポイント(相違点)

最近、Amazonや楽天の動向が注目されるように電子ブックの普及へ向かっていくことは必然の流れですね。 この流れから、HTMLからXHTMLへ ...

Squid でキャッシュを削除する方法をまとめて解説してみた

Squidをリバースプロキシとして使ってみた では、Squidによるリバースプロキシの設定について書きました。 そこでは、キャッシュされたファ ...



コメントを投稿 :

お名前 *

メールアドレス *
( メールアドレスが公開されることはありません。)

サイトアドレス

コメント *

* 印の項目は、入力が必要な項目です。




最近投稿の記事

[ 画像提供元 : Amazon ] 先日、1TBのディスクの入れ替え時にバックアップをとろうとディスクコピーを行いました。 その際 ...

Windows で Linux ファイルシステム Ext4 のディスクをマウントするには? Ext3Fsd が、おそらく、最も簡単なツール ...

今回は、Windows で Compass を使ってみました。 Compass とは、 Sass(サス、Syntactica ...

今回は、Anti Adblock を使ってみました。 Anti Adblock とは、 そもそも Adblock という ウェブ ...

デスクトップ環境でない サーバーで、Webページのキャプチャー画像をコマンドで撮る には、wkhtmltoimage, CutyCapt ...


さくらのVPS 全プラン リニューアルです。(石狩(北海道)も選択可)


root権限ありで ¥685 / 月 ~ と非常にリーズナブルな CPU 1(core)の 512 プランから、 最高 CPU 10(core), メモリ 32(GB), SSD容量 800(GB) までとプランが充実。
ディスクは、SSDとHDDの選択が可能になった他、データセンターは人気の東京、石狩(北海道)となりました。

また、どのプランでも好きなOSが選べます
( CentOS, Fedora, Scientific Linux, FreeBSD, Ubutu, Debian )

管理人もおすすめのVPSです。
試用期間がありますから、一度、お試しを!!

詳しくは、http://vps.sakura.ad.jp/さくらのVPSのサイトへ へどうぞ!!

カテゴリ


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。


Serverman@VPS 完全1ヶ月無料 キャンペーン実施中です。
最近、スワップにも対応した Serverman@VPS は、かなりリーズナブルかもです。

  • メモリ1GB~2GBのEntryプラン :月額:490円
  • メモリ2MB~4GBのStandardプラン :月額:980円
  • メモリ4GB~8GBのProプラン :月額:1,980円

新規申し込みで1ヶ月間完全無料となるキャンペーンを実施中です。
Serverman@VPSの特徴は、安さとIPv6対応です。また、初期設定費0円もポイントです。

IPv6でちょっと遊んでみたい方には、おすすめかもしれませんね。最低利用期間もありませんから、気に入らないときは即解約もできます。

Serverman@VPSの詳細については、 http://dream.jp/vps/ Serverman@VPSのサイトへへどうぞ。



KVM採用 ConoHa VPSは、時間単位で借りれる便利なVPSです。


ConoHa VPS は、初期設定費0円最低利用期間無し時間単位で清算可能、 さらに、Web APIを使って自動化を図ることもできる便利なVPSです。

海外サーバー設置も可能で、ローカル接続にも対応と、かなり、機能豊富なサーバーです。

新規ユーザ登録で、クーポンもらえますから、まずは、お試しですね。

ConoHa VPSの詳細については、
http://www.conoha.jp/ へどうぞ。

KVM採用 お名前.com VPS(KVM) 2G プラン 初期設定費無料 キャンペーン 実施です。


メモリ2GBプラン CPU:3core、Disk:200GB
月額:1,153円から (初期設定:1,680円0円)

さくらのVPSがリニューアルされてもなんのその。
1GBメモリ / 2Core を ¥834 – の格安価格で提供中です!
間違いなくスペックからすると割安感ありです。
年間割引時の途中解約で返金がないのは、 ちょっと残念ですが、それでもこの割安感は魅力です。

まずは、お試しですね。

お名前.com VPS(KVM)の詳細については、
http://www.onamae-server.com/vps/ へどうぞ。(お試し期間が15日あります。)



  • ソーシャルブックマーク

  • はてなブックマークへ追加するはてな登録数
ページトップへ
Time : 0.2764 [s]