はじめに OpenID Connect は OAuth 2.0 を拡張する形で策定されました。 OAuth 2.0 はアクセストークン発行手順に関する仕様で、RFC 6749（The OAuth 2.0 Authorization Framework）で定義されています（参考：一番分かりやすい OAuth の説明）。 一方、OpenID Connect は ID トークン発行手順に関する仕様で、主要部分は OpenID Connect Core 1.0 で定義されています（参考：一番分かりやすい OpenID Connect の説明）。 RFC 6749 は認可エンドポイントという Web API を定義しています。 この API は必須のリクエストパラメーターとして response_type を要求します。 OpenID Connect は、この response_type の仕様を拡

はじめに 「解説記事を幾つも読んだけど OpenID Connect を理解できた気がしない」― この文書は、そういう悩みを抱えたエンジニアの方々に向けた OpenID Connect 解説文書です。概念的・抽象的な話を避け、具体例を用いて OpenID Connect を解説していこうと思います。 この文書では、JWS (RFC 7515)、JWE (RFC 7516)、JWK (RFC 7517)、JWT (RFC 7519)、ID トークンの説明をおこないます。 追記（2020-03-20） この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました！ 1. 『ID トークン』を発行するための仕様 一般の方々に対しては「OpenID Connect は認証の仕様である」という説明で良いと思います。一方、技術的な理解を渇望しているエンジニアの方々に対

TLDR; 簡単なWEBアプリケーションを書くときに最低限書いておいて良かったと思うテストの紹介 リポジトリは下記 https://github.com/katsuren/laravel-test 前提 Not SPA - JS が絡むものは NodeJS のテストフレームワーク使ったほうがよい Not SPA でも JS が多い場合は dusk や codeception を使ったほうが良いと思う Laravel についての知識、下記は知っているものとして解説する factory、リレーションあたり feature/unit テストについて サンプルアプリケーションの概要 CDの管理アプリケーション作る アーティストとそのアルバム、曲名を管理できるアプリケーション 簡単のためにログインは省く テスト戦略的なもの モデルが利用可能なこと、リレーションが正しいことをおさえる 基本的なリソース

はじめに KPT (Keep/Problem/Try) 等のふりかえりで、K (Keep) ネタを増やすみんなの工夫 というのを見て「あるある」と思ったので、KPTをやってみてこれはよくなかったとか、これは失敗だったなぁという自分の経験をまとめてみます。 振り返りの手法としては、KPT、YWT、Fun/Done/Lean、Celebration Gridなどがありますが、一番有名なのはKPTなのかもしれないですね。 失敗その1 Tryが振り返りの度に溜まっていく 個人的にKPTあるある第1位はこれじゃないかなと思います。特に振り返りの経験が少ないと、たくさん改善しようと思いTryをたくさん考えてしまいます。忙しかったりすると実際にTryが行われる訳でもなく…次回の振り返りでさらにTryが積まれ、実施される事のないTryがたくさんある状態になりがちです。また、Problemが並ぶとエンジニア

Docker Desktopが有料化されることでDocker Desktopを利用しない選択肢を迫られるケースが出てくると思います。 Docker Desktopが有料化へ　従業員数250人以下・年間売り上げ1000万ドル以下の組織などは引き続き無料 - ITmedia NEWS https://www.itmedia.co.jp/news/articles/2109/02/news112.html Docker is Updating and Extending Our Product Subscriptions - Docker Blog https://www.docker.com/blog/updating-product-subscriptions/ Docker Desktopを利用しない方法にはいくつか選択肢がありますがLaravel 8.xのsailコマンドを利用する場合、

(PR) 本記事でご紹介している Slidev などのテクニックについて、2021/11/20(土) 開催の VS Code Conference Japan 2021 にてご紹介しました。YouTubeアーカイブや発表資料も是非ご参照ください。 Slidevとは Slidevはエンジニア向けプレゼンテーションツールです。 Markdownで記述した文書から美しいスライドを生成できます。 公式デモ とそのソースとなるMarkdown もご参照ください。 ドキュメントは以下にあります。 すぐに使えるサンプル 使用頻度の高いと思われる記法を含めたサンプルのMarkdownを以下に公開しています。 コピペするなどしてお使いください。詳細は後述します。 上記Markdownを使用しているスライドを以下にデプロイしています。 上記Markdownの記述内容と見比べていただけると分かりやすいかと思いま

1. はじめに フロントエンドを始めたばかりの頃、参考書や参考サイトで当然のように使われているものの、特に說明がないような**「慣習」や「テクニック」**に困惑したり、その理由が気になった経験を思い出したので、その一部を簡単にまとめてみました。 2. HTML 2-1. iタグでアイコン HTML の興味深いテキスト要素 (<i>)は、何らかの理由で他のテキストと区別されるテキストの範囲を表します。例えば、技術用語、外国語のフレーズ、架空の人物の思考などです。英文においてはよく斜体で表示されるものです。 <i>: 興味深いテキスト要素 - HTML: HyperText Markup Language | MDN 仕様上は適切な使用方法ではなさそうですが、「Bootstrap Icons」や「Font Awesome」などでも採用されているように、普及している印象があります。 ちなみにHT

PHP8.2 / PHP8.1 / PHP8.0 / PHP7.4 2021/11/26にリリースされました 2021/07/20、PHP8.1がフィーチャーフリーズしました。 言語機能に関わるような機能の追加・変更が締め切られたということです。 今後はデバッグを繰り返しながら完成度を高めていき、2021/11/25にPHP8.1.0がリリースされる予定です。 というわけでPHP8.1で実装されるRFCを見てみましょう。 RFC Fibers 賛成50反対14で受理。 Fiberです。 PHPで非同期コードを書けるようになります。 $fiber = new Fiber(function (): void { $value = Fiber::suspend('fiber'); echo "レジュームした。$value: ", $value, "\n"; }); $value = $fiber

はじめに The Bezos Mandateという文書があります。日本語に訳すと「ベゾスのお達し」とか「ベゾスの勅令」でしょうか。 言わずと知れたAmazon.comのCEO、ジェフ・ベゾスが開発チームに通達した内容です。 これが（元Amazon.com従業員によって）公開されたのは2011年ですが、ベゾスがこのお達しを出したのは2002年前後です。17年経過した現在でも真理をついているどころかようやく時代がベゾスに追いついたかという感想です。 この記事ではThe Bezos Mandateの紹介と、僭越ながら補足説明も行います。 お達しの内容 原文は元Amazon.com従業員のGoogleエンジニア（公開当時）、Steve Yeggeによって公開されました。 Google+にStevey's Google Platforms Rantというタイトルで、Amazon.comと比べたGoo

以下の記事を読みました。 CookieのPath属性は本当に安全性に寄与しないのか 結論として以下となっています。 結論。Path属性は特殊な状況下ではある程度安全性に寄与する Path属性は、これを設定してCookieを発行するあるパス(以下「自身のパス」)にサーバサイドのプログラムを書き換えられるような脆弱性がなく、同一オリジン内の別のパスにそのような脆弱性がある場合に、そのパスへのCookieの漏洩することを防ぐことができます。 中略 つまり、「体系的に学ぶ 安全なWebアプリケーションの作り方」の記述はおそらく間違えです。 とはいえ私はセキュリティは専門ではなく、特に攻撃側には疎く、この記事に書いた以上の調査・実験もしていないため、この結論も確実とは言い切れません。詳しい情報をお持ちの方がいたら、ぜひご教示ください。 記事では、iframeなどを用いた攻撃について言及されていて、そ

はじめに 株式会社hokanでプロダクトマネージャーやエンジニアをしている宮といいます。 先日Auth0 JapanのTwitterでユーザー移行について解説している動画についてツイートされていました。 ちょうどhokanでも今年の頭にAuth0にDjangoの認証機能から移行したのですが、その時に割と悩んだのでその辺りの知見を整理しようと思います。 結構分量のある記事になってるので、時間がない方は各セクションの概要のみ読んでいただけると良いかと思います！ 最後の方にシレッと移行計画立てる為の簡単なフォーマットも付録として用意したので、ご参考にしてください。 この記事の前提 Auth0の概要について Auth0は、サービスごとに分散するアカウント情報の管理を一元化したり、認証方法の強化に関する統合認証基盤の一種です。 Auth0の概要についてはこちらの記事が詳しく解説してくれているので、A

みなさまは"The Causal Revolution" (因果革命)という言葉を聞いたことがあるでしょうか？ 私は今月(2021年6月)に初めて知りました。Google Trendsでもデータ不足によりトレンドが表示されません。 つまりまだ全然マイナーな概念で、聞いたことがないほうが自然かと思われますが、これは「来る」と確信したため本記事を投稿しました。この確信の根拠の箇所を記事中で太字で書いた他、最後にもまとめたため、本記事を読む価値がありそうかの判断には先にそちらを読んでもらってもいいかもしれません。しかしながら、因果革命ないし統計的因果推論は学ぶ価値のある分野です。本記事を読まなくても下記に挙げた書籍を未読の方はぜひ一読してみてください。Qiitaでも因果推論についての記事はいくつもあります。しかし、私が感動した点を明示化した記事は見当たらなかったため本記事を投稿しました。 この記

(2021/6/17 思った以上に伸びたため、主語がデカイままだと問題かと思いましたので、タイトルを修正しました。失敗、と当初書いたのは調査のモチベーションのためでしたが、現在進行形で運用されているシステムに対して失敗、と書くのは大変失礼な記述でした。関係者の方々、誠に申し訳ありませんでした。この記事のモチベーションは、COCOAの初回リリースまでを主なターゲットにしており、2020年夏以降のことについては、あまり追えてもいなければ、正直、理解もできておりません。) このメモの目的 COCOAアプリの成り立ちを深く知ることで、COCOAアプリの開発経緯を探りたい。 立ち入らないこと セキュリティ周りの話 Exposure Notification APIの挙動 調査のモチベーション 精神的に苦しい思いをした人が居る 何があったか 現場（厚労省結核感染症課）目線 現場目線は「仕方ない」の連鎖

最新の省略テクニック、コツ、秘訣で、JavaScriptコードを最適化する。 開発者の生活というのは常に新しいことを学ぶことで、その変化についていくことは決して難しいことではありません。私は、フロントエンド開発者として知っておく必要のある省略形や機能など、JavaScriptのすべてのベストプラクティスを紹介して、2021年の生活をより快適にしたいと考えています。 JavaScript開発に長く携わっている人でも、コードを追加しなくても問題解決できるような最新機能を知らないこともあるかもしれません。ここで紹介するものは、クリーンで最適化されたJavaScriptのコード記述にも、2021年のJavaScriptの面接準備にも役立ちます。 これは新しいシリーズで、2021年版のJavaScriptコーディングチートシートです。 1. 複数の条件を持つif 配列に複数の値を格納し、includ

新人の方によく展開させていただいている有益な情報をまとめておきます。今後も展開することがあるかもしれないため情報をまとめております。 あらたな、有益な情報がありましたら、随時追加してまいります。 有益な記事・論文・書籍等を執筆・紹介していただいた皆様に感謝申し上げます。 ちなみに、本記事に記載されている情報は、お困りごと・お悩みごとをお聞きしたとき・気づいたときに、そのお困りごとに対して参考になりそうなものだけを展開していました。この情報を一気に展開していたわけではございません。 コードリーディングについて [1]ソースコードを読むための技術 https://i.loveruby.net/ja/misc/readingcode.html [2]派生開発推進協議会 関西部会 スペックアウトチーム，「派生開発におけるスペックアウト手法の提案」，派生開発カンファレンス2015，2015 http

laravelのヤバい脆弱性をついたkinsing(kdevtmpfsi)というマルウェアに感染した話 CVE-2021-3129PHPSecurityLaravelkinsingkdevtmpfsi webサーバー上でlaravelを動かしていれば、ちょっとした設定のミスで誰でもマルウェアに感染する可能性がある激ヤバセキュリティホール(CVE-2021-3129)が2021年1月20日に報告されています！ composerでインストールしたパッケージをバージョンアップせずに使っていませんか？ インターネット上に公開されているサーバー、特にステージングや開発環境でDEBUG=ONにしていませんか？ エラー画面がこんな風に見えますか？ この3つの条件を満たしていると、あなたのlaravelは、今すぐにでもマルウェアに感染する可能性があります。 laravelの脆弱性をついたkinsing(k

Laravel Sailで作成したプロジェクトをServerless FrameworkでAWS LambdaとAurora Serverlessへデプロイできるようにしましたが、GitHub Actionsを利用してデプロイできるか試してみました。 前提 こちらのリポジトリにGitHub Actionsのワークフローを追加する手順となります。 手順 リポジトリにSecretを追加する AWS環境へデプロイするのにAWSのクレデンシャル情報が必要となるため、対象となるリポジトリに以下のSecretを追加します。 AWS_ACCESS_KEY_ID AWS_SECRET_ACCESS_KEY デプロイ用の.envファイルを用意する GitHub Actions環境でLaravelプロジェクトを展開する必要があるので、デプロイ用の.envファイルを用意します。 name: deploy on:

ついうっかりPHP-CS-Fixerで自動整形し忘れてpushしても、GitHub Actionsで自動整形したら幸せになれると思ったので試してみました。 前提 Laravel Sailで作成したプロジェクトでPHP-CS-Fixerを利用できるようしたGitHubリポジトリにワークフローを追加する手順となります。 手順 ローカルでワークフロー実行ができるツールのインストール ローカルでワークフロー実行ができるツールがありました🚀🚀🚀 nektos/act: Run your GitHub Actions locally 🚀 https://github.com/nektos/act インストール方法も簡単なので導入しやすいです。

前回、データベースにServerless Frameworkを利用していたのをAuroraとRDS Proxyを利用する版となります。 LaravelをAWS Lambdaで動作させることができる素敵な時代になっていたので、Laravel SailとLaravel Breezeでログイン機 前提 こちらのGitHubリポジトリを利用してデプロイ環境を構築する手順です。 環境構築後の内容はこちらのブランチにおいています。 手順 Serverless Frameworkのインストール セットアップスクリプトが提供されているのでそれを利用します。 > curl -o- -L https://slss.io/install | bash > serverless -v Framework Core: 2.30.3 (standalone) Plugin: 4.5.1 SDK: 4.2.0 Comp