初めに
Goの学習がてらに、Todoアプリを作成していました。その際、データベースに接続する際、ハードコードされた接続文字列を用いていました。しかし、この方法はセキュリティの観点から見ると問題があります。ユーザ名やパスワードがソースコードに露出してしまうと、不適切な手に落ちた場合にデータベースが危険に晒される可能性があります。今回は、環境変数を活用してセキュリティを強化する方法をご紹介します。
ちなみにですが....
以下記事では全体的なコードを投稿しています。
環境変数の活用
環境変数を使用することで、機密情報を安全に保管できます。この方法では、パスワードやユーザ名を直接コードに書く代わりに、環境変数から取得します。こうすることで、接続情報が漏洩するリスクを大幅に減らすことが可能です。
実装
実装の一例として、github.com/joho/godotenv パッケージを用いた環境変数の読み込みを見てみましょう。
まず、環境変数を保存する.envファイルを作成します。このファイルは通常、プロジェクトのルートディレクトリに配置します。ただし、このファイルは.gitignoreに追加して公開リポジトリに公開されないようにすることが重要です。
▼ .env ファイルの例:(それぞれの値には該当するものを記入して下さい。)
DB_USER=myuser
DB_PASSWORD=mypassword
DB_HOST=mylocalhost
DB_PORT=myport
DB_NAME=mydbname
次に、Goのコードを環境変数からデータベース接続情報を読み取るように変更します。
package models
import (
"database/sql"
"fmt"
"log"
"os"
"github.com/joho/godotenv"
_ "github.com/go-sql-driver/mysql"
)
type TodoModel struct {
db *sql.DB
}
func NewTodoModel() *TodoModel {
err := godotenv.Load() // 環境変数の読み込み
if err != nil {
log.Fatal("Error loading .env file")
}
user := os.Getenv("DB_USER")
password := os.Getenv("DB_PASSWORD")
host := os.Getenv("DB_HOST")
port := os.Getenv("DB_PORT")
dbName := os.Getenv("DB_NAME")
connectionString := fmt.Sprintf("%s:%s@tcp(%s:%s)/%s", user, password, host, port, dbName)
db, err := sql.Open("mysql", connectionString)
if err != nil {
panic(err)
}
return &TodoModel{db: db}
}
各処理について
err := godotenv.Load() // 環境変数の読み込み
ここでgodotenvパッケージのLoad関数を使用しています。これにより、カレントディレクトリ内の.envファイルから環境変数を読み込むことができます。この関数は、ファイルの読み込みに失敗した場合やパースに問題があった場合にエラーを返します。
if err != nil { log.Fatal("Error loading .env file") }
これはエラーチェックの部分です。上述のgodotenv.Load()関数がエラーを返した場合(つまり、.envファイルの読み込みに問題があった場合)、エラーメッセージをログに出力してプログラムを終了します。
user := os.Getenv("DB_USER")
osパッケージのGetenv関数を使用して、"DB_USER"という名前の環境変数を取得します。この関数は、指定した環境変数が存在しない場合、空文字列を返します。
password := os.Getenv("DB_PASSWORD")
上述の"DB_USER"の取得と同様に、"DB_PASSWORD"という名前の環境変数を取得します。
host := os.Getenv("DB_HOST")
"DB_HOST"という名前の環境変数を取得します。この環境変数は、データベースサーバーのホスト名またはIPアドレスを保持します。
port := os.Getenv("DB_PORT")
"DB_PORT"という名前の環境変数を取得します。この環境変数は、データベースサーバーのポート番号を保持します。
dbName := os.Getenv("DB_NAME")
"DB_NAME"という名前の環境変数を取得します。この環境変数は、接続したいデータベースの名前を保持します。
これらの操作を行うことで、ソースコード内に直接データベース接続情報を書くことなく、セキュアにデータベースに接続することができます。これにより、データベース接続情報を含むソースコードが第三者に漏れてしまっても、環境変数が適切に管理されていれば、データベースは保護されます。
結論
この記事では、Goでデータベース接続を行う際のセキュリティについて記述しました。パスワードやユーザ名などの接続情報をハードコードする代わりに、環境変数を利用することで、これらの情報を安全に保管できます。特に公開リポジトリを使用している場合、この方法は重要です。誤っている点などがありましたらご指摘のほどお待ちしております!
補足(システムレベルで環境変数を設定する)
実際のプロダクション環境では環境変数は通常、システムレベルで設定され、.envファイルは使用されません。そのため、godotenv.Load()は開発環境やテスト環境特有の処理となります。プロダクション環境では、システムレベルで設定された環境変数をos.Getenvで直接取得します。
ユーザーレベルでの環境変数設定
Unix系OSでは、特定のユーザーのシェルセッションに対して環境変数を設定する一般的な方法として、ユーザーのホームディレクトリにあるシェル設定ファイル(例えば~/.bashrc、~/.bash_profile、~/.zshrcなど)に環境変数を設定する方法があります。
例えば、次のようにDB_USERという環境変数を設定することができます
# ~/.bashrc or ~/.bash_profile or ~/.zshrc
export DB_USER=myuser
この設定を反映するには、設定ファイルを保存した後に新しいシェルセッションを開始します。
システム全体への環境変数設定
一方、システム全体のすべてのユーザーに対して環境変数を設定するには、/etc/environmentを使用することが一般的です(ただし、このファイルは一部のLinuxディストリビューションでのみ使用されます)。このファイルはKEY=VALUE形式で環境変数を設定します。
# /etc/environment
DB_USER=myuser
この設定を反映するには、ファイルを保存した後にシステムを再起動するか、新しいログインセッションを開始します。
注意点
環境変数は、システムやアプリケーションの設定を柔軟に制御する強力なツールです。しかし、パスワードやAPIキーなどの機密情報を環境変数に保存するときは、他のユーザーやアプリケーションからその情報がアクセス可能になる可能性があるため、適切なセキュリティ対策をとることが重要です。
また、環境変数の設定は一般的には永続的ですが、シェルセッションごと、またはログインセッションごとに限定される場合もあります。そのため、環境変数を使用する際は、そのスコープと持続性を理解しておくことが重要です。
まとめ
環境変数はOSとアプリケーション間の重要なインターフェースであり、適切に設定と管理することで、システムとアプリケーションの柔軟な制御を可能にします。しかし、その強力さと柔軟性は適切な理解と管理を必要とします。