Microservices における認証と認可の設計パターン
マイクロサービスにおける認証と認可の、一般論としての設計パターンを調べたところ、Web 上の複数の記事で似たようなパターンが登場していた。ここでは、まず認証と認可が実現したい一般的な要件と、そのマイクロサービスでの難しさを整理し、認証と認可に分けて調査したパターンをまとめた。 あくまで “一般論” なので、実際には個々のドメインにあわせてアレンジが必要 往々にしてこの “アレンジ” に価値が宿るものだが、まずはセオリーを知っておきたいというモチベーションで調査した Web 上の記事を読んでまとめただけなので、手を動かしての確認はしておらず、理解が甘い部分はご容赦ください 具体的な通信方式やサービス間通信のセキュリティといった具体論までは踏み込めていない。このへんはサービスメッシュやゼロトラストネットワークといったトピックが登場すると思われる これらは次回以降の Todo としています その
node.js - 期限 - 更新 トークン
JWT(JSON Webトークン)の有効期限の自動延長 (6) 新しいREST APIにJWTベースの認証を実装したいと思います。 しかし、有効期限がトークンに設定されているので、それを自動的に延長することは可能ですか? ユーザーがその期間にアプリケーションを積極的に使用していた場合、X分ごとにサインインする必要はありません。 それは巨大なUXの失敗でしょう。 しかし、有効期限を長くすると、新しいトークンが作成されます(古いものは有効期限が切れるまで有効です)。 そして、各要求の後に新しいトークンを生成すると、私は馬鹿に聞こえます。 複数のトークンが同時に有効な場合、セキュリティ上の問題のように聞こえる。 もちろん、ブラックリストを使って古いものを無効にすることもできますが、トークンを保存する必要があります。 JWTのメリットの1つにストレージがありません。 私はAuth0がそれをどのよう
JWTを利用したSpringアプリのAPI認証 - Qiita
APIサーバとして作っているSpringBootアプリに認証の仕組みを入れようと思い、試行錯誤した内容をまとめておきます。 spring-securityを入れればよろしくやってくれるんじゃないの?と軽く思っていたのですが、思ったより長い道のりになってしまいました。 ID/PWでtokenを発行して、tokenを元にその他のAPIを呼び出せるか制御したい というのがやりたいことです。 いろいろ調べるとJWTという技術が使えそうだと判明して、「Implementing JWT Authentication on Spring Boot APIs」というサイトを参考に実装しています。 JWT(Json Web Token)とは 以下の3つのJSONデータを.で結合してできた文字列を、URLでも安全に送れるように暗号化したものです。これをtokenとして利用します。ジョットと読むらしいです He
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Spring Boot + Spring Security + JWT + MySQL + React Full Stack Polling App - Part 1