【Python】第8章第8回：ユーザー認証とセッション管理

2025年1月23日 a-mun

本記事では、Flaskを使ったユーザー認証とセッション管理の基本的な方法について解説します。安全なWebアプリケーションを構築するために必要なスキルを学びましょう。

Table of Contents

0. 記事の概要

この記事を読むメリット

ユーザー認証の仕組みを理解：ログイン機能を実装する方法を学べます。
セッション管理の基本を習得：ユーザーの状態を保持する技術を理解できます。
セキュリティ対策を強化：実務で必要な認証技術を学べます。

この記事で学べること

ユーザー認証の基本的な流れ
Flaskでのセッション管理の実装方法
セキュアなWebアプリケーション開発の基礎

1. ユーザー認証とセッション管理の基本

1.1 ユーザー認証とは？

ユーザー認証とは、ユーザーが正規の利用者であることを確認するプロセスです。一般的な方法は以下の通りです。

パスワード認証: ユーザー名とパスワードを照合
トークン認証: トークンを発行して認証
多要素認証（MFA）: 複数の認証要素を使用

1.2 セッション管理とは？

セッション管理は、ログイン状態を保持する仕組みです。一般的に、以下のような技術を利用します。

セッションID: クライアントに一意の識別子を付与
Cookie: クライアントにデータを保存
サーバーサイドセッション: サーバーでセッションデータを管理

2. Flaskでユーザー認証を実装する

2.1 コード例: ログイン機能の実装

# app.py
from flask import Flask, request, redirect, url_for, session, render_template

app = Flask(__name__)
app.secret_key = "your_secret_key"

# ダミーユーザーデータ
users = {"user1": "password1", "user2": "password2"}

@app.route("/")
def index():
    if "username" in session:
        return f"こんにちは、{session['username']}さん！"
    return "ログインしてください。ログイン"

@app.route("/login", methods=["GET", "POST"])
def login():
    if request.method == "POST":
        username = request.form["username"]
        password = request.form["password"]
        if username in users and users[username] == password:
            session["username"] = username
            return redirect(url_for("index"))
        return "ログイン失敗。"
    return '''
    
        ユーザー名: 

        パスワード: 

        ログイン
    
    '''

@app.route("/logout")
def logout():
    session.pop("username", None)
    return redirect(url_for("index"))

if __name__ == "__main__":
    app.run(debug=True)

動作解説

ログイン処理: ユーザー名とパスワードを検証し、セッションに保存。
ログアウト処理: セッションからユーザー情報を削除。
リダイレクト: ログイン成功後、トップページへ遷移。

3. セキュリティ対策の基本

3.1 セッション固定攻撃の防止

ログイン後にセッションIDを再生成することで、防御可能です。

# セッションIDの再生成
from flask import session
from flask_session import Session

# セッションを再生成する
session["username"] = "user1"
session.modified = True

3.2 パスワードのハッシュ化

パスワードをハッシュ化することで、安全性が向上します。

# パスワードハッシュ化の例
from werkzeug.security import generate_password_hash, check_password_hash

hashed_password = generate_password_hash("password123")
print(check_password_hash(hashed_password, "password123"))

4. 練習問題

以下の課題に挑戦してみましょう。

登録フォームを作成し、新しいユーザーを追加する機能を実装してください。
ログイン試行回数を制限する仕組みを導入してください。
トークンベースの認証を実装してみましょう。

5. 練習問題の解答と解説

問1の解答例

# 新規ユーザー登録の例
@app.route("/register", methods=["GET", "POST"])
def register():
    if request.method == "POST":
        username = request.form["username"]
        password = generate_password_hash(request.form["password"])
        users[username] = password
        return redirect(url_for("login"))
    return '''
    
        ユーザー名: 

        パスワード: 

        登録
    
    '''

6. まとめ

本記事では、ユーザー認証とセッション管理の基本を学びました。安全なWebアプリケーションを構築するため、さらに高度なセキュリティ対策に挑戦してください。