JSON Web Token(JWT)のClaimについて · なるはやで いい感じの 動作確認
REST APIなどを開発すると、避けては通れないものに認証があります。 最近はOAuth2 Providerを実装することが多いのですが、発行するアクセストークンにJSON Web Token(JWT)を利用しています。 JWTは名前の通り、RFC7519によって定義されたスキーマを持つJSONです。 JSONの各キーとして、RFCで定義されている標準的なキーと値のペア(Claim)を取ることにより、標準的な取り扱いが可能になります。 本記事では、JWTのClaimについて、OAuth2 Providerでのアクセストークンを発行する立場から、備忘録的にまとめたいと思います。 なお、JWTにはJOSE Headerのような、Claimとは別の仕様も含まれていますが、本記事ではClaimのみを対象とします。 アクセストークンとしてJWTを利用することの利点 JWTは単なるJSONのため、ア
JSON Web Token(JWT)の紹介とYahoo! JAPANにおけるJWTの活用
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 IDソリューション本部の都筑です。 新卒2年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 今回は最近ユーザーやデバイスの認証で用いられる”JSON Web Token(JWT)”についての解説と、Yahoo! JAPANと他社の活用事例を紹介したいと思います。 JWTとは? JWTとはJSON Web Tokenの略称であり、属性情報(Claim)をJSONデータ構造で表現したトークンの仕様です。 仕様はRFC7519(外部サイト)で定められています。 特徴として、署名、暗号化ができ、URL-safeであることなどが挙げられます。発音は"ジョット"です。 JWTと関連す
JWT(JSON Web Token)でCSRF脆弱性を回避できるワケを調べてみた話 - Qiita
はじめに こんにちは。流通事業部、新卒2年目の@mejilebenです。ガチアサリ難しすぎる。。。 ※本記事はLIFULL Advent Calendar 2017 20日目の記事です。 背景 JWT(JSON Web Token)という技術があるのですが、この技術を使うとCSRF脆弱性の対策にもなるということを知って、いったいどういう理屈なのか調べてみました。 色々な意味でツッコミどころ満載の記事になっていますが、お手柔らかにコメントいただけるとうれしいです。 この記事で言いたいこと JWTは改ざんを検知できる等の便利な仕様であることから、Webアプリケーションにおいて認証や認可の用途で使われている CSRFは悪意のある第三者による偽造されたリクエストも本物とみなして処理をしてしまう脆弱性 ユーザーからのリクエスト時はJWTをAuthorizationヘッダに載せることで、CSRF脆弱性
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
