Node.jsでbcryptでハッシュ化した文字列をPHPでチェックする

概要

• jsで文字列「hogefuga」をbcryptアルゴリズムを用いてハッシュ化し、PHPでハッシュ化された文字列と文字列「hogefuga」が一致するか確認する方法をまとめる。

ユースケース

• lambda関数からPHP/Laravelで作られたエンドポイントにリクエストを送る際にAPIキーを実装する。
• APIキーはlambda関数のjsでbcryptでハッシュ化され、axiosでリクエストヘッダに格納されリクエストが投げられる。
• PHP/Laravelでは平文のAPIキーを.envなどで保持する。受け取ったリクエストのリクエストヘッダからハッシュ化されたAPIキーを受け取り、平文のAPIキーと比較し一致していたら「valid!」と、一致しなかったら「invalid!」とechoする。

この記事でやること

• ランタイムNode.js18のlambda関数で文字列「hogefuga」をbcryptjsモジュールでハッシュ化する。
• ハッシュ化した文字列をconsole.logで出力する。
• 出力されたハッシュ化された文字列を手動でコピーする。
• PHPがブラウザで動作する下記サービスを使って、確認用コードを記載し、ハッシュ化した文字列と平文の「hogefuga」が一致することを確認する。

方法

1. ランタイムNode.js18のlambda関数を作成する。

2. bcryptjsモジュールをlambdaレイヤーに登録し、作成した関数に紐付ける。

   1. 任意のモジュールをlambdaレイヤーに登録する方法はこちら → lambda レイヤーを作成しよう（Node.js18）

3. lambda関数に下記の内容を記載し、保存 → Deployする（ちなみにhashSync()メソッドの第二引数はソルトと言って指定した階数分bcryptでのハッシュを繰り返す。回数を多くすれば特定しにくい値になるが、トレードオフで処理時間がかかる。）

   index.mjs

   import bcrypt from "bcryptjs";
   
   let hashed = bcrypt.hashSync('hogefuga', 8);
   console.log(hashed);
   
   export const handler = async(event, context) => {
       const response = {
           statusCode: 200,
           body: JSON.stringify('Hello from Lambda!'),
       };
       return response;
   };
   

4. lambdaのHello-Worldテストを定義する。

5. lambda関数をHello-Worldテストを実行して動かす。

6. 「Execution results」のタブに「hogefuga」をbcryptアルゴリズムでハッシュ化した文字列が出力されていることを確認する。

   

7. 下記を開く

   1. paiza.IO

8. PHPを開き、下記のコードを記載する。

   <?php
   
   $hash = 'jsでhogefugaをハッシュ化した文字列';
   
   if (password_verify('hogefuga', $hash)) {
       echo 'valid!';
   } else {
       echo 'invalid!';
   }
   
   ?>
   

9. 「jsでhogefugaをハッシュ化した文字列」の部分にlambdaの「Execution results」のタブに「hogefuga」をbcryptアルゴリズムでハッシュ化した文字列が出力されているのでコピーして貼り付ける。

   

10. 筆者の場合貼り付けた後のPHPのコードは下記のようになる。

    <?php
    
    $hash = '$2a$08$Co0vJF0mKz4Py4wj..RkwezaCnF8yoQO85qyrnpVSMs/WY0GUhTS.';
    
    if (password_verify('hogefuga', $hash)) {
        echo 'valid!';
    } else {
        echo 'invalid!';
    }
    
    ?>
    

11. 上記を実行すると「valid!」と出力されたのでチェックが通ったことになる。

応用

1. 「hogefuga」+「日時情報」をjsにてbcryptでハッシュ化し、PHPでもハッシュ化された文字列が「hogefuga」+「日時情報」と一致するか確認する方法をまとめる。

2. lambdaに下記のように記載する。

   import bcrypt from "bcryptjs";
   
   const key = 'hogefuga';
   const date = new Date();
   const dateToISOString = date.toISOString();
   console.log(dateToISOString);
   const beforeHash = key + dateToISOString;
   
   let hashed = bcrypt.hashSync(beforeHash, 8);
   console.log(hashed);
   
   export const handler = async(event, context) => {
       const response = {
           statusCode: 200,
           body: JSON.stringify('Hello from Lambda!'),
       };
       return response;
   };
   

3. PHPは下記のように記載する。

   $hash = 'リクエストヘッダなどで受け取ったハッシュ化された文字列';
   $date = 'リクエストヘッダなどで受け取ったハッシュ化時に連結した日時情報';
   $key = 'hogefuga';
   
   if (password_verify($key . $date, $hash)) {
       echo 'valid!';
   } else {
       echo 'invalid!';
   }
   

4. 筆者の場合、下記のようになった。

   $hash = '$2a$08$ASiujjadHSSfvEcivPCe1eNTYfgx4yMGbNRyhyAwp7knO4mmArOvq';
   $date = '2023-05-16T14:13:20.764Z';
   $key = 'hogefuga';
   
   if (password_verify($key . $date, $hash)) {
       echo 'valid!';
   } else {
       echo 'invalid!';
   }