先生と生徒の会話形式で理解しよう

生徒

「Flaskでログイン機能を作ったんですが、このまま本番で使っても大丈夫ですか？」

先生

「動くだけでは不十分です。本番運用では、認証と認可の安全対策がとても重要になります。」

生徒

「認証と認可って、そもそも何が違うんですか？」

先生

「まずは基本から説明しつつ、本番で必要なチェックリストを一つずつ見ていきましょう。」

1. Flaskにおける認証と認可の基本

Flaskの認証とは、「この人は誰か」を確認する仕組みです。ログイン画面でユーザー名とパスワードを入力する場面を思い浮かべてください。一方で認可は、「その人が何をしてよいか」を決めるルールです。例えば、管理者だけが見られるページなどが該当します。

パソコンに例えると、認証は家の鍵を開ける行為、認可は家の中のどの部屋に入ってよいかを決めることです。 Flaskで安全なWebアプリを作るには、この二つを正しく理解することが大切です。

2. 本番運用前に必ず確認するチェックリストの考え方

チェックリストとは、「確認すべき項目をまとめたメモ」のことです。本番運用とは、実際の利用者が使う状態を指します。テスト用と違い、本番環境では個人情報やパスワードを扱うため、Flaskの認証・認可には特別な注意が必要です。

初心者の方は「動いているから大丈夫」と思いがちですが、見えない部分のセキュリティ対策こそが重要です。これから紹介する項目を一つずつ確認していきましょう。

パスワードをそのまま保存するのは非常に危険です。ハッシュ化とは、元の文字列を元に戻せない形に変換することです。例えるなら、卵を割ってしまうと元の卵に戻せないのと同じです。


from werkzeug.security import generate_password_hash

password = "mypassword"
hashed = generate_password_hash(password)
print(hashed)

このようにFlaskでは、安全なハッシュ関数を簡単に使えます。本番運用では必ずハッシュ化されているか確認しましょう。

セッションとは、「この人はログイン中です」という状態を一時的に覚えておく仕組みです。毎ページごとにパスワードを聞かれたら不便ですよね。その役割をセッションが担っています。


from flask import session

session["logged_in"] = True

本番では、秘密鍵（SECRET_KEY）が設定されているかも必ず確認してください。これがないと、セッション情報が簡単に盗まれてしまいます。

認証だけで安心してはいけません。ログインしていれば誰でも見られる状態は危険です。ページごとに「この人は見ていいか」を確認するのが認可です。


from flask import abort

if not session.get("is_admin"):
    abort(403)

403は「アクセス禁止」という意味です。管理者専用ページには必ずこのようなチェックを入れましょう。

HTTPSとは、通信内容を暗号化する仕組みです。HTTPのままだと、ログイン情報が第三者に見られる可能性があります。カフェのフリーWi-Fiを想像するとわかりやすいでしょう。

本番運用では、FlaskアプリがHTTPSで動いているか必ず確認してください。これは認証・認可以前の大前提です。

CSRFとは、利用者が気づかないうちに不正な操作をさせられる攻撃です。知らない間にボタンを押させられる、というイメージです。


from flask_wtf import CSRFProtect

csrf = CSRFProtect(app)

本番環境ではCSRF対策が有効かどうか、必ずチェックリストに入れてください。

「パスワードが違います」「ユーザーが存在しません」と細かく表示すると、攻撃者のヒントになります。本番運用では、できるだけシンプルなメッセージにしましょう。

Flaskの認証・認可では、親切さよりも安全性を優先する場面があることを覚えておいてください。