Webサービスとは ウェブの人気・最新記事を集めました - はてな
→WebService、ウェブサービス HTTPを経由して遠隔アプリケーションを呼び出す仕組み。CGI的なもののデータ交換にXMLを取り入れてアプリケーション間の通信に使えるように標準化したもの。 SOAP、WSDL、UDDI などをまとめてこう呼んだりする。 AmazonやGoogleなどがAPIを公開している。 既存の様々なWEBサービスを手軽に導入できるAPIの公開は、情報の共有というWEBの本来のあり方に通じている。 類似のものにCORBA、Java RMIなど。 Web的なサービスという意味で使われることもあるがちょっと違う。 このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡く
匿名かつ検証可能なPrivate Access Tokensの提案仕様 (プライベートアクセストークン) - ASnoKaze blog
「Private Access Tokens」という提案仕様が、Google, Apple, Fastly, Cloudflareの方々らの共著でIETFに提出されています。なお、すでに実装が進められているそうです。 この「Private Access Tokens」の一つのモチベーションに次のようなものがあります。 昨今、プライバシー保護の要求は高まっており、ユーザのIPアドレスを秘匿する、iCloud Private RelayやOblivious HTTPといった技術が出てきています。いままではIPアドレスベースでアクセスレートリミットを行っていましたが、 そのような環境でも、アクセスのレートリミットを設けたいというというのが一つの目的です。 それを、追加のユーザインタラクション無しに、かつユーザをトラッキングできないような匿名なトークンで行うというのがPrivate Access
セキュアなトークンの作り方 - astamuse Lab
開発部のにゃんです。主にバックエンドを弄っております。 Webアプリケーションではセキュリティ対策のためにランダムな文字列を使用する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenID Connectで使用するnonce, state, code_verifier メールの到達確認用URLのトークン パスワードをhashする際に使用するsalt セッションID これらの値は単に衝突しなければOKというものではありません。十分なセキュリティ強度を確保するためには推測不可能なランダム値を使う必要があります。 以下は推測不可能なランダム値ではありません。セキュリティが求められる場面では使ってはいけません。 Math.randomなどの疑似乱数 日付やユーザ情報のハッシュ ではどのような値が適切なのでしょうか? /dev/randomと/dev/urandom Linuxに
認証を含む API 開発で検討すべきこと - ボクココ
ども、@kimihomです。 API に関する基礎的な話で、なぜ API が重要なのか、APIの実装で注意する点について記述した。 今回はAPI開発において最も頭を悩ます、認証の問題について考えてみたい。 API における認証 よくあるログインが必要なページを考えてみていただきたい。 通常のWebアプリケーションであれば、Cookieという仕組みを使って毎回Webサーバーにアクセスするときにsession idというものを送信し、それとユーザー情報を紐付けたデータを取ってくることで、どんなユーザーからリクエストが来たのかをWebアプリケーション側で判断することができる。これにより、私たちはいつも閲覧しているWebアプリケーションが自分専用の画面として見れるようになっている。 これがAPIになると話は違ってくる。Cookieという仕組みが使えないのである。ということで、なんとかしてAPIにア
Chicken life » Blog Archive » FuelPHPでCSRFが動かない件
FuelPHPの入力フォームでFuelが提供している機能を使ってCSRF対策を入れました。 やり方は、下記のサイトを参考にしました。 FuelPHP1.7、CSRF対策としてセキュリティトークンを使う CSRF対策の導入 具体的な方法は下記の通り。 1./fuel/app/config/config.phpの「token_salt」にトークンを設定。 'token_salt' => 'xxxxxxxxxxxxxxx', // 任意のトークン 2.View側のフォーム内で下記を埋め込む。 <?= Form::csrf() ?> 3.受け側のControllerでチェック if ( ! Security::check_token()) { // たとえばエラーページに飛ばす。 throw new HttpNotFoundException; } これで準備OK! 設定も簡単であとは画面を動
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
