概要

企業がサービスやアプリケーションを接続するためにAPIを利用するケースが増えているため、これらのデータパイプラインのセキュリティ確保は非常に重要です。このユースケースでは、クライアントのJoomlaコアAPIに堅牢なJSON Web Token（JWT）認証システムを実装し、APIアクセスを登録済みおよび認証済みのユーザーのみに制限する方法を説明します。

前提条件

このユースケースは、以下にリストされているプラグインを使用してシームレスに実装されています。これを実現するには、これらのプラグインをJoomlaインスタンスにインストールする必要があります。

Joomla のカスタム API 拡張機能

カスタム API プラグインを使用すると、Joomla でデータを取得/変更/作成/削除するためのカスタム エンドポイント/REST ルートを作成できます。

拡張機能をダウンロード

課題

クライアントは、Joomlaサイトのデータと機能をAPI経由で外部アプリケーションに公開する必要がありました。しかし、デフォルトのアクセス制御ではセキュリティ要件を満たすことができませんでした。主な課題は、 ユーザーベースのJWT認証 システム。つまり、APIへのアクセスはオープンにしたり、単純な静的APIキーに基づいて設定したりすることはできず、Joomlaサイトで有効なログイン資格情報を持つユーザーのみに動的に許可する必要がありました。

解決策

Joomlaのユーザー管理システムに直接統合するカスタム認証フローを設計・開発しました。このソリューションでは、 JWTトークンを生成するための専用APIエンドポイントこのアプローチにより、ユーザー認証情報を繰り返し公開することなく、すべての API リクエストが安全に検証されます。

この JWT ベースのソリューションには、いくつかの利点があります。

• 強化されたセキュリティ： トークンはデジタル署名されており、サーバーによって検証できるため、不正アクセスを防止できます。
• ステートレスかつスケーラブル: サーバーは各ユーザーのセッション情報を保存する必要がないため、API はより効率的でスケーラブルになります。
• 制御されたトークンの寿命: 有効期限を設定できるようにすることで、一定期間後にトークンは自動的に無効になり、侵害されたトークンが悪用されるリスクが軽減されます。
• シームレス統合： 既存の Joomla ユーザー データベースを活用するため、API アクセス用の個別の資格情報セットを管理する必要はありません。

製品の導入

認証プロセスは、トークン生成とトークン検証という 2 つの異なるフェーズで実装されました。

• トークン生成:
• ユーザーはまず、新しい安全なエンドポイントに資格情報を送信してトークンを要求する必要があります。
• このリクエストにはJoomlaが含まれている必要があります ユーザ名 　 passwordさらに、定義済みの 秘密鍵 そして望ましい 有効期限 を供給する必要があります。
• 当社のシステムは、ユーザー名とパスワードを Joomla ユーザー データベースに対して検証します。
• 資格情報が正しい場合、一意の JWT が生成され、秘密キーで署名されてユーザーに送り返されます。
• トークンを使用した API アクセス:
• 保護されたJoomla APIエンドポイントにアクセスするには、ユーザーは生成されたJWTを Authorization リクエストのヘッダー。
• Joomla サイトのミドルウェア層は、すべての API 呼び出しをインターセプトし、ヘッダー内の有効な JWT をチェックし、その署名と有効期限を検証します。
• トークンが有効な場合、リクエストは処理されます。トークンが見つからない、無効、または期限切れの場合、APIは直ちに 401未承認 エラー、アクセスをブロックしています。

結果

このカスタムJWT認証システムを構築することで、クライアントのJoomla APIのセキュリティ確保に成功しました。このソリューションは、既存のJoomlaユーザーベースに直接連携する、最新かつ安全でスケーラブルなユーザー認証方法を提供します。クライアントは、データが保護され、ユーザーごとにアクセスが厳密に制御されていることを確信しながら、ウェブサイトを他のサービスやアプリケーションに安心して接続できるようになりました。

追加リソース

1. Joomla のカスタム API 認証
2. Joomla の Web3 認証
3. Joomla セキュリティシールド