ログイン機能の実装について、おおまかな仕組み - Qiita
はじめに ログイン機能を自前のWebアプリに実装するときに、必要になる要素技術を自分用にまとめようかと思う。コードやハウツーではなく、どの機能にどのような理論が必要になるか、など、実装以前の内容を自分用にまとめようかと思う。あくまで自分用にである。大事なことなので3回言いました。 何がしたいか そこまで本気ではないが、ある程度のセキュリティで、自分のページにくるユーザがログインして、ログイン状態を維持したまま、継続的にサービスを利用できるようにしたい。 ユーザのする作業の流れ ユーザのする作業の流れ。 アカウント作成ページにアクセスする アカウント名とメールアドレス、それと、パスワードを入力する。 それと、CAPTCHAを入力する メールを受信する メールのなかのアドレスをクリックする、 あるいは、メールで教えられた文字列を専用のページに入力する 登録完了 ログインページにアカウント名とパ
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第2章 アクセス制御
CAPTCHAが提供する機能はユーザ認証機能そのものではない。システム要件として自動化された大量アクセスを避けたい機能がある場合、その前に設けることを検討する価値はある。 CAPTCHAとは CAPTCHA とは "Completely Automated Public Turing test to tell Computers and Humans Apart" の略であり、「人間とマシンを判別するチューリングテスト」のことである。 CAPTCHA は、ブラウザ以外の自動化されたWebクライアントによって大量のリクエストを投入されては困る案件において、相手がマシンでないことを確かめる目的で用いられる。例えば、会員登録フォームやメッセージ投稿フォームのようなケースが挙げられる。 Webアプリケーションで用いられる CAPTHCA には、歪められノイズが加えられた画像から 文字列を読み取るよ
BCryptのすすめ - Qiita
はじめに この記事は Scala Advent Calendar(Adventar) の13日目です。パスワード保存に使うBCryptの話をします。 安全にパスワードを保存する 皆様、パスワードをセキュアに保存しているでしょうか?まさかとは思いますが、パスワードを生で保存するとかおぞましいことをしてないでしょうか? パスワードは攻撃者によってソースコード・DBすべて取得されたとしても、元のパスワードを類推することを不可能とするように保存することにより、パスワード漏洩最後の砦として機能させることが望ましいです。 この条件を満たす方法として、パスワードをHash化して保存する方法があります。ただし単純なHash化では駄目です。まず、類推されにくくて衝突しずらい、暗号学的に良いHash関数アルゴリズムが必要です。また、よくあるHash関数アルゴリズムは(元々高速に計算することを意図していたのもあ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
