<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>以下OSが前提になります<br>
MacOS Sonoma 14.1</p>
</div></aside>
<h2 id="%E3%81%BE%E3%81%88%E3%81%8C%E3%81%8D">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%88%E3%81%8C%E3%81%8D" aria-hidden="true"></a> まえがき</h2>
<p>株式会社エアークローゼット 新卒3年目の小林です。<br>
この記事は<a href="https://qiita.com/advent-calendar/2023/air-closet" target="_blank" rel="nofollow noopener noreferrer">エアークローゼット Advent Calendar 2023 18日目</a>の記事です。</p>
<p>先日、弊社から<a href="https://disney.air-closet.com/" target="_blank" rel="nofollow noopener noreferrer">Disney FASHION CLOSET</a> というディズニーキャラクターをモチーフとしたバウンドコーデを借りられるサービスがリリースされ、私はそのフロントエンド全体の設計・開発と、認証周りの開発を担当していました。<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__b69e170504905" src="https://embed.zenn.studio/card#zenn-embedded__b69e170504905" data-content="https%3A%2F%2Fdisney.air-closet.com%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://disney.air-closet.com/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://disney.air-closet.com/</a></p>
<p>今回は認証周りの基盤づくりの話。<br>
ローカル開発環境をブラウザに怒られないやり方でSSL化し、HttpOnly SecureなCookieを使って開発できるようにした話です。</p>
<h2 id="%E8%83%8C%E6%99%AF---http-cookie%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E8%AA%8D%E8%A8%BC">
<a class="header-anchor-link" href="#%E8%83%8C%E6%99%AF---http-cookie%E3%82%92%E4%BD%BF%E3%81%A3%E3%81%9F%E8%AA%8D%E8%A8%BC" aria-hidden="true"></a> 背景 - HTTP Cookieを使った認証</h2>
<p>今回のサービスではブラウザ-API間で認証情報を取り回すために、Http Cookieを使っています。<br>
具体的には、ログインAPIからのレスポンスにSet-Cookieヘッダを付与し、以後の認証が必要なAPIのやりとりではwithCredentialなリクエストとして送ることで、改ざんが難しく、かつ取り回しやすい認証情報のやりとりを実現しました。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__01eeece652989" src="https://embed.zenn.studio/card#zenn-embedded__01eeece652989" data-content="https%3A%2F%2Fdeveloper.mozilla.org%2Fen-US%2Fdocs%2FWeb%2FHTTP%2FCookies" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developer.mozilla.org/en-US/docs/Web/HTTP/Cookies</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__09db2f7d571e4" src="https://embed.zenn.studio/card#zenn-embedded__09db2f7d571e4" data-content="https%3A%2F%2Fdeveloper.mozilla.org%2Fen-US%2Fdocs%2FWeb%2FHTTP%2FHeaders%2FSet-Cookie" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://developer.mozilla.org/en-US/docs/Web/HTTP/Headers/Set-Cookie</a></p>
<p>今回採用した認証構成がどのようにして外部攻撃を防いでくれるのか、という面に関してはまた追って記事を書いたり追記していくとして、今回は手短に任意ドメイン + SSL化の手法だけ共有します。</p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>開発環境以外では使わないようにお願いします<br>
（信頼させる設定の方法からして開発用途にしか使えませんが、、、）</p>
</div></aside>
<h2 id="%E3%82%84%E3%82%8A%E6%96%B9">
<a class="header-anchor-link" href="#%E3%82%84%E3%82%8A%E6%96%B9" aria-hidden="true"></a> やり方</h2>
<p>ざっくり言うと</p>
<ol>
<li>ローカルマシンのhostを書き換え、localhostを任意のドメインから見れるようにする</li>
<li>Dockerにプロキシ（Nginx）を立て、任意のドメインからのリクエストを任意のポートに飛ばせるようにする</li>
<li>自己証明書を作り、Nginxのssl設定に自己証明書をセットする</li>
<li>自己証明書をローカルマシンに取り込み、信頼するよう設定する</li>
</ol>
<p>です。</p>
<p>今回は、<code>hoge.local-dev.com</code>、<code>fuga.local-dev.com</code> で、ローカルに立てた2つの開発環境にアクセスしてみます。</p>
<p>今回使ったDockerのコード置いときます<br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__fa86c1e5660cc" src="https://embed.zenn.studio/card#zenn-embedded__fa86c1e5660cc" data-content="https%3A%2F%2Fgithub.com%2FHelicoir%2Flocalhost-ssl-proxy" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/Helicoir/localhost-ssl-proxy" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/Helicoir/localhost-ssl-proxy</a></p>
<h3 id="1.-%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AEhost%E3%82%92%E6%9B%B8%E3%81%8D%E6%8F%9B%E3%81%88%E3%80%81localhost%E3%82%92%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%8B%E3%82%89%E8%A6%8B%E3%82%8C%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#1.-%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AEhost%E3%82%92%E6%9B%B8%E3%81%8D%E6%8F%9B%E3%81%88%E3%80%81localhost%E3%82%92%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%8B%E3%82%89%E8%A6%8B%E3%82%8C%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> 1. ローカルマシンのhostを書き換え、localhostを任意のドメインから見れるようにする</h3>
<p>Linux系OSにおけるホスト名とIPアドレスを対応させるためのファイルに、使いたいドメインを書きます</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ <span class="token function">vim</span> /private/etc/hosts
</code></pre></div><div class="code-block-container"><pre><code>127.0.0.1 hoge.local-dev.com
127.0.0.1 fuga.local-dev.com
</code></pre></div><h3 id="2.-docker%E3%81%AB%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%EF%BC%88nginx%EF%BC%89%E3%82%92%E7%AB%8B%E3%81%A6%E3%80%81%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%82%92%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E9%A3%9B%E3%81%B0%E3%81%9B%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2.-docker%E3%81%AB%E3%83%97%E3%83%AD%E3%82%AD%E3%82%B7%EF%BC%88nginx%EF%BC%89%E3%82%92%E7%AB%8B%E3%81%A6%E3%80%81%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%89%E3%83%A1%E3%82%A4%E3%83%B3%E3%81%8B%E3%82%89%E3%81%AE%E3%83%AA%E3%82%AF%E3%82%A8%E3%82%B9%E3%83%88%E3%82%92%E4%BB%BB%E6%84%8F%E3%81%AE%E3%83%9D%E3%83%BC%E3%83%88%E3%81%AB%E9%A3%9B%E3%81%B0%E3%81%9B%E3%82%8B%E3%82%88%E3%81%86%E3%81%AB%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2. Dockerにプロキシ（Nginx）を立て、任意のドメインからのリクエストを任意のポートに飛ばせるようにする</h3>
<p>先ほど設定した各ドメインと、ローカルマシンの任意のポートを、プロキシサーバー経由でつなぎます。</p>
<div class="code-block-container"><pre><code>server {
    listen 443 ssl;
    server_name hoge.local-dev.com;
 
    location / {
      proxy_pass http://host.docker.internal:3000;
    }
}

server {
    listen 443 ssl;
    server_name fuga.local-dev.com;
 
    location / {
      proxy_pass http://host.docker.internal:4566;
    }
}
</code></pre></div><p>特に重要なのが <code>proxy_pass http://host.docker.internal:4566;</code>の部分で、<code>host.docker.internal:{port}</code>を使うことで、ローカルマシンの任意のポートへアクセスを振り向けることができます。</p>
<p>今回の例でいうと、</p>
<ul>
<li>
<code>localhost:3000</code> - <code>hoge.local-dev.com</code>
</li>
<li>
<code>localhost:4566</code> - <code>fuga.local-dev.com</code>
</li>
</ul>
<p>というふうな接続が確保されました。</p>
<p>ここまでで、<strong>任意のドメインでローカル開発環境にアクセスする</strong> ことができます。</p>
<h3 id="3.-%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E4%BD%9C%E3%82%8A%E3%80%81nginx%E3%81%AEssl%E8%A8%AD%E5%AE%9A%E3%81%AB%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%82%BB%E3%83%83%E3%83%88%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#3.-%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E4%BD%9C%E3%82%8A%E3%80%81nginx%E3%81%AEssl%E8%A8%AD%E5%AE%9A%E3%81%AB%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%82%BB%E3%83%83%E3%83%88%E3%81%99%E3%82%8B" aria-hidden="true"></a> 3. 自己証明書を作り、Nginxのssl設定に自己証明書をセットする</h3>
<p>ここからは自己証明書を作り、ブラウザに怒られない信頼状態になるまで設定していきます。</p>
<p>自己証明書の作り方は巷にあふれており、そちらの詳しい解説を見てもらったほうがわかりやすいので割愛します。<br>
MacOS標準 &amp; 各種パッケージ管理ツールでインストールしやすいOpenSSLを使うのが一番楽そう、かつ明確にSANの設定を入れられるのでブラウザ上でも怒られることなく動くのでおすすめ。<br>
こちらの記事が詳しいです。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__c22c8462e226d" src="https://embed.zenn.studio/card#zenn-embedded__c22c8462e226d" data-content="https%3A%2F%2Fpvision.jp%2Ftech%2F2023%2F04%2Fimporting-self-signed-certificate-as-root-certificate" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://pvision.jp/tech/2023/04/importing-self-signed-certificate-as-root-certificate" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://pvision.jp/tech/2023/04/importing-self-signed-certificate-as-root-certificate</a></p>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>以下の2点に注意</p>
<ol>
<li>
<p>SAN入りの証明書をつくること<br>
だいたいの開発者がChromeを使っていると思いますが、ChromeではSAN入りの証明書でないとブラウザ側で不適格な証明書と判断され、いつまでも警告が消えません（Safariだと通りますが）。</p>
</li>
<li>
<p>*.local-dev.comに対する証明書をつくること<br>
必須ではない（個別に証明書を作ってもいいです）が、一回で済むので。</p>
</li>
</ol>
</div></aside>
<p>証明書の作成が完了したら、以下のように<code>nginx.conf</code> を設定していきましょう。</p>
<div class="code-block-container"><pre><code>server {
    listen 443 ssl;
    server_name disney.ac-local.com;

    ssl on;
    ssl_certificate /etc/nginx/certs/ac-local.com/server.crt;
    ssl_certificate_key /etc/nginx/certs/ac-local.com/server.key;
 
    location / {
      proxy_pass http://host.docker.internal:19834;
    }
}
</code></pre></div><p>証明書の配置について、サンプルリポジトリでは<code>docker-compose.yml</code>にてvolumeの設定をしているため、ローカルにこのように配置するときれいに入ります</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/1bc10318d254-20231218.png" loading="lazy" class="md-img"></p>
<p>ここまで対応すると、さきほど設定したドメイン + httpsでアクセスすること自体は可能になりますが、公開認証局からの信頼がないためブラウザから警告が出ます。<br>
（警告を無視してサイトにアクセスしてもhttps扱いとしてhttpOnly Cookieが使えるかは要検証。全体的な振る舞いはhttps扱いになっているようなのでできそうですが……）</p>
<h3 id="4.-%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AB%E5%8F%96%E3%82%8A%E8%BE%BC%E3%81%BF%E3%80%81%E4%BF%A1%E9%A0%BC%E3%81%99%E3%82%8B%E3%82%88%E3%81%86%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#4.-%E8%87%AA%E5%B7%B1%E8%A8%BC%E6%98%8E%E6%9B%B8%E3%82%92%E3%83%AD%E3%83%BC%E3%82%AB%E3%83%AB%E3%83%9E%E3%82%B7%E3%83%B3%E3%81%AB%E5%8F%96%E3%82%8A%E8%BE%BC%E3%81%BF%E3%80%81%E4%BF%A1%E9%A0%BC%E3%81%99%E3%82%8B%E3%82%88%E3%81%86%E8%A8%AD%E5%AE%9A%E3%81%99%E3%82%8B" aria-hidden="true"></a> 4. 自己証明書をローカルマシンに取り込み、信頼するよう設定する</h3>
<p>ブラウザからの警告を出さない方法として、ローカルマシンの設定でこの証明書を信頼する方法があります。<br>
MacOSの<strong>キーチェーンアクセス</strong>にて、<code>.crt</code>拡張子がついた証明書を取り込み、信頼状態に変更します。</p>
<p>具体的には以下↓ （都合により <code>*.ac-local.com</code> になっていますが、他ドメインでも同様です）</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/435f1c421f15-20231218.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/e620bfe24efa-20231218.png" loading="lazy" class="md-img"><br>
<img src="https://storage.googleapis.com/zenn-user-upload/25da912d510b-20231218.png" loading="lazy" class="md-img"></p>
<p>これにより、ブラウザ上の警告が消え、ストレスなくアクセスすることが可能になります。</p>
<h2 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h2>
<p>最後までご覧いただきありがとうございました！</p>
<p>エアークローゼット Advent Calendar 2023はまだまだ続きますので、ぜひ他のエンジニア、デザイナー、PMの記事もご覧いただければと思います。</p>
<p>また、エアークローゼットはエンジニア採用活動も行っておりますので、興味のある方はぜひご覧ください！</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__4dcd24eacefa1" src="https://embed.zenn.studio/card#zenn-embedded__4dcd24eacefa1" data-content="https%3A%2F%2Fcorp.air-closet.com%2Frecruiting%2Fdevelopers%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://corp.air-closet.com/recruiting/developers/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://corp.air-closet.com/recruiting/developers/</a><br style="display:none">
<span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__3035377fa9a02" src="https://embed.zenn.studio/card#zenn-embedded__3035377fa9a02" data-content="https%3A%2F%2Fwww.wantedly.com%2Fcompanies%2FairCloset%2Fprojects" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.wantedly.com/companies/airCloset/projects" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.wantedly.com/companies/airCloset/projects</a></p>


【MacOS】Nginx+オレオレ証明書の手動信頼でローカル開発環境を任意ドメイン+SSL化する

1. ローカルマシンのhostを書き換え、localhostを任意のドメインから見れるようにする

2. Dockerにプロキシ（Nginx）を立て、任意のドメインからのリクエストを任意のポートに飛ばせるようにする

3. 自己証明書を作り、Nginxのssl設定に自己証明書をセットする

4. 自己証明書をローカルマシンに取り込み、信頼するよう設定する

Discussion