CloudFront+S3による静的サイトにCognito認証を追加してみた | DevelopersIO
こんにちは、なおにしです。 静的コンテンツのみをWebサイトとして公開したい場合、AWSであればCloudFront+S3の構成はよく利用されるかと思います。 CloudFrontを用いているため、地理的制限の機能を使ったりAWS WAFと組み合わせたりすることである程度のアクセス元制限を行うことはできます。一方で、特定のユーザに対してのみ公開したいというユーザ認証が必要なケースでは別の仕組みが必要になります。 そこで今回は、Amazon Cognitoを用いてCloudFront+S3による静的サイトに認証機能を追加してみました。 どうすれば良いか Application Load BalancerやAPI Gatewayにはマネジメントコンソール上でCognitoとの連携を設定するためのUIが準備されていますが、CloudFrontにはそれがありません。そこで、AWSから公開されている
Laravel の認証・認可パッケージが多すぎてわけわからんので図にまとめた - Qiita
元ネタ @localdisk さんの記事です。 こちらで概ね適切に説明されているものの,文章のみで図が無くて直感的に把握しづらいので,初心者にもすぐ飲み込ませられるように図に描き起こしてみました。 図 解説 illuminate/auth: 最小限の認証認可コアロジック コアコンポーネント群の laravel/framework に含まれているものです。 Socialite 以外のすべてのパッケージが,実質このコアに依存していることになります。 以下の記事でこのパッケージの詳細について説明しているので,ここでは端折って説明します。 伝統的 Cookie ベースのセッション認証 こちらでも解説している, 「Cookie に識別子を載せ,それに対応する情報はサーバ側のファイルに記録する」 という手法に近いものです。 実装は illuminate/session にあり, PHP ネイティブのセ
認証方法の選択 - Box Developerドキュメント
おすすめサンプルコードカタログ便利なスクリプト、サンプルアプリ、ヒントになるユースケースを見つけましょう。さまざまなプログラミング言語の80以上のオープンソースリポジトリをご覧ください。サンプルコードを参照
Amazon Cognitoを試してみた(ユーザプール編) - Qiita
背景・目的 私は、現在データエンジニアリングを生業としています。普段は、データ基盤の構築や、パフォーマンスチューニングなどビックデータに関する業務に従事しています。 日頃から、データに関わる業務が多く、Webフロントエンドやバックエンドの技術に触れる機会が少ないため、意図的に学んで行こうと思います。 今回は、Webアプリケーションの認証やユーザ管理のサービスであるAmazon Cognito(以降、Cognitoと言います。)を学んでいこうと思います。 まとめ Cognitoは、簡単な設定でユーザ認証の仕組みを提供する。 既存のシステムや他のIdPで管理しているユーザIDを使用することが可能。 概要 Cognitoとは? Amazon Cognito を使用すれば、ウェブアプリケーションおよびモバイルアプリに素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追
OAuth2.0の流れをまとめてみる
※この記事は別アカウント(hyiromori)から引っ越しました はじめに 最近、個人的に認証認可周りを学習していて、その過程でOAuth2.0について学習している内容をまとめた記事です。 世の中には既にOAuth2.0に関する優れた書籍やブログ記事が沢山ありますが、自分が学習する過程で色々なものを読むことでより理解が深まったと思うので、自分も学習したものをアウトプットすることで同じように学習している人の理解の助けになればと思い書きました。 まだ私も学習中なので、もし間違ったところなどあればコメント頂けるとありがたいです。 注意点 この記事内ではOAuth2.0で定義されているフロー の1つ、認可コードによる付与(Authorization Code Grant)についてまとめています。 たくさんの仕様をいきなり網羅的にまとめるのは難しいので、1つに絞って今回はまとめています。 OAuth
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
BoxAPIを使ってPHPでファイルをアップロード
概要 SDKを利用して認証・アップロードを行う記事はあったのですが、SDKを利用しない記事・ドキュメントが少なくかなり苦労したので、、、誰かこれを見て楽してください!! カスタムアプリの作成と設定 カスタムアプリの作成 開発者コンソールに移動し、マイアプリからアプリの新規作成をクリックする。 認証方法のダイアログが表示されるので、デフォルトのサーバー認証(JWT使用) を選択し、任意のアプリ名を入力する。 カスタムアプリの設定 カスタムアプリ作成完了後、自動的に構成の設定画面へ遷移します。 アプリケーションスコープ Boxに格納されているすべてのファイルとフォルダへの書き込みのチェックボックスをオンにする ※今回の記事は、ファイルをアップロードが必要なので読み取りのみ場合は、無視してOKです! 管理操作については、リファレンスを参考に任意で設定お願いします。 公開キーの追加と管理 公開/秘
認証方式の種類を比較!それぞれの仕組みや選び方を解説|パナソニックEWネットワークス株式会社|Panasonic
コンピュータとサービスにおける認証とは コンピュータ上のサービスやインターネットなどのネットワークサービスを提供するときに不可欠なものが「認証」です。認証は、一人ひとりのユーザを認識・特定し、一人ひとりのユーザに応じたサービスやデータを提供するためのものです。 認証は、ユーザを識別するための情報と、ユーザであることを確認するための情報を組み合わせることで行われます。つまりIDとパスワードです。ユーザの識別情報であるIDと、そのIDを持つ本人だけが知り得る情報であるパスワードをシステムに入力することで認証が行われます。 システム側では、誰にIDを発行し、そのIDにどのような権限を与えたかを管理し、認証が正常に行われれば、管理している情報に基づいてユーザに権限を与えます。ユーザごとに異なる権限を管理し、権限を超えた操作などは行えないようにすること、いわゆるアクセス制御もシステムの重要な役割です
Amazon Cognitoを使ってシンプルなログイン画面を作ってみる - Qiita
AWS資格取得に向けて実際にAWSを利用してみるシリーズの投稿です。 今回はAWSを使って素早く簡単にユーザーのサインアップ/サインインおよびアクセスコントロールの機能を追加できるAmazon Cognitoを利用してみる編です。1時間程度でCognitoを利用したログイン機能が作成できます。 資格勉強的にはCognitoのユーザープール、IDプールの違いを確認しつつ、手っ取り早くログイン画面の作成するための手順になっています。 興味がある方は読んでみて下さい。 資格試験の勉強法は記事は以下を参照。 AWS初心者がAWS 認定ソリューションアーキテクト – アソシエイト資格試験に合格した時の勉強法 AWS初心者がAWS 認定ソリューションアーキテクト – プロフェッショナル資格試験に合格した時の勉強法 想定読者 AWSでログイン機能(認証・認可)ができるCognitoを使ってサクッとログイ
FIDO パスキー(Passkey)ってなに?
各ベンダーのクラウド同期の仕組みのなかで、一部の鍵情報を「同期鍵」として共有することで、パスキーの同期が実現されます。ユーザーは自身のスマートデバイス(認証デバイス)が手元に無い状況であっても、同一ベンダーのスマートデバイスを利用して「パスキー」による認証が利用できるようになります。 例えば、Apple IDを利用している場合、端末に保管されたクレデンシャルはAppleのiCloudキーチェーンを使って複数の端末に同期されるため、パスキーを登録したiPhoneはもちろんのこと、MacやiPadなどでも改めてFIDO登録しなくとも、すぐにFIDO認証を使ったログインができるようになります。このように、複数の端末でもFIDO認証ができるというのが特徴です。 異なるクラウドベンダー間での同期 パスキーは、異なるクラウドベンダー間を股にかけることも考慮されています。認証デバイス間でQRコードとBl
株式会社ディー・ディー・エス
パスワードを不要とする安心・安全なID認証方式 インターネットを介したオンラインサービスが、仕事でもプライベートでも必要不可欠なツールとなって久しいですが、ほとんどのオンラインサービスにおけるID認証(自己証明)に使われている方法は、皆さんお馴染みの「パスワード」です。 情報システムにおけるセキュリティの脅威には、情報漏えい、不正アクセス、決済・金融サービスの不正利用、アカウント乗っ取りなど様々なものがあり、その原因も様々ですが、なかでもID・パスワード認証が原因(真因)となった事件・事故が非常に多く存在しています。 FIDO認証は、パスワードを使わずにオンラインサービスのID認証を安全で簡単に行うことができる新しい認証規格です。非営利団体FIDOアライアンスがグローバルで標準化と普及を進めています。ここではそのFIDO認証の概略について解説していきます。 目次 1.そもそもパスワードの何
Laravel(6.x)でのセキュアそうなAPI認証を実装する - Qiita
こんにちは。M2です。 Laravel Advent Calendar 2020の4日目を担当させていただきます。 概要 Laravelのtokenを使ったAPI認証でなるべくセキュアそうな認証方法を実装してみたので、備忘録がてらに共有します。 Laravelパスポートを使いたいところですが、使わない方向です。 環境 Laravel 6.x フロント側は(Vue.js 3)だけでど何でも良い 方向性 DBにapi_tokenを用意して、それをユーザ認証用のtokenとする DBに保存しているapi_tokenはHash化して保存する ブラウザ側ではapi_tokenを暗号化してCookieに保存する JavaScript側でapi_tokenにアクセスできないように、Laravel側でhttponlyに設定する ずっと同じapi_tokenも嫌なので、ログイン毎に更新する api_toke
Laravel 8のAPI認証を味見する - Laravel Sanctum -
はじめに 経緯 Laravel 6で組んでいるAPIサーバーをLaravel 8で組みなおしてみるという一連の実証です。 今回は、Laravel 8でAPI認証を組んでみました。 具体的には、Laravel SanctumでAPI認証の機能が提供されているよ、ということで、これを簡単に使ってみます。 公式ドキュメントのLaravel Sanctumを参考にしています。 Laravel 6で組んでいるAPIサーバーについて補足 Laravel 6のAPI認証は、公式ドキュメントのLaravel 6.x API認証に解説があります。 ドキュメントに、「Laravel Passportの使用を考慮することを強く推奨」というフリのとおり、幾分簡易的なドキュメントという印象です。 というわけで、公式ドキュメントを元に、APIトークンを使い捨てにしたり、有効期限を付与したり、トークンガードをカスタマイ
【Laravel】ユーザ登録と認証機能のカスタマイズを解説 | Snome;
通販サイト等のシステムには、基本的にシステムの利用するユーザの管理やログイン機能という物が存在します。 この記事を読んでいる皆さんも、IDやメールアドレス、パスワードを入力してログインしたことはあるのではないでしょうか。ここでは超簡単なL... 前の記事では、2つのコマンドを実行することにより、ユーザ登録機能やログイン機能が実装されました。 ただ、システムによっては外部からユーザを作成されてはいけない場合もあります。 ここでは、ユーザ登録機能のオンオフやルーティングの設定切替を行っていきましょう。 ※この記事の実施前に1ユーザだけ作って置きましょう。 単純にログイン後に切り替える ユーザの作成機能のコントローラ(RegisterController)のコンストラクタ(__construct)には、ログイン前でもアクセス可とする記述があります。 $this->middleware('gues
Laravelの認証カスタマイズに関するメモ - Qiita
概要 EloquentUserProviderを継承し、カスタムユーザープロバイダを定義して認証をカスタマイズした時に書いためも ざっくり結論 カスタマイズ内容と、どこに実装するか、の関係 カスタマイズする内容と実装するべきコンポーネントの関係は以下の通り。 ログインの認証状態をどうやって管理するかをカスタマイズしたい場合は「ガード」 認証時に、どのようにユーザーを取得するかをカスタマイズしたい場合は「プロバイダ」(本稿のテーマ) プレゼンテーションに関する内容のカスタマイズはController 「プロバイダ」のカスタマイズ手順 本稿の主なテーマ。 EloquentUserProvider を継承した独自のカスタムユーザープロバイダを作成し、retrieveByCredentials() 、validateCredentials() メソッドあたりをオーバーライドすればだいたいのことがで
[図解] Laravel の認証周りのややこしいあれこれ。
Laravel のログイン認証周りのカスタマイズをする度、 「この場合どこをいじればいいんだっけ・・・」と混乱するので、 図にまとめてみました。 全体感を掴んでいただくことが目的ですので、 この記事では、具体的なカスタマイズのコードは紹介しません。 ご了承ください。 まずは登場人物一覧 ガード (guard) Laravel では「認証」と呼ぶことが多いです。 ログイン機構の種類を表します。 たとえば、ECサイトの「管理者」と「会員」など。 ログイン画面の数だけガードがある、というイメージです。 provider (認証方法) と driver (認証状態の管理方法) で構成されています。 config/auth.php に定義されており、追加・変更ができます。 ガードドライバ (driver) ログインの認証状態をどうやって管理するか。 多くの場合はセッション認証 (session) で
![[図解] Laravel の認証周りのややこしいあれこれ。](https://cdn-ak-scissors.b.st-hatena.com/image/square/952f1220532c94d01f9a6b79fede14e6c928a00b/height=288;version=1;width=512/https%3A%2F%2Fres.cloudinary.com%2Fzenn%2Fimage%2Fupload%2Fs--VyzU06gV--%2Fc_fit%252Cg_north_west%252Cl_text%3Anotosansjp-medium.otf_55%3A%25255B%2525E5%25259B%2525B3%2525E8%2525A7%2525A3%25255D%252520%252520Laravel%252520%2525E3%252581%2525AE%2525E8%2525AA%25258D%2525E8%2525A8%2525BC%2525E5%252591%2525A8%2525E3%252582%25258A%2525E3%252581%2525AE%2525E3%252582%252584%2525E3%252582%252584%2525E3%252581%252593%2525E3%252581%252597%2525E3%252581%252584%2525E3%252581%252582%2525E3%252582%25258C%2525E3%252581%252593%2525E3%252582%25258C%2525E3%252580%252582%252Cw_1010%252Cx_90%252Cy_100%2Fg_south_west%252Cl_text%3Anotosansjp-medium.otf_37%3ARoku%252Cx_203%252Cy_121%2Fg_south_west%252Ch_90%252Cl_fetch%3AaHR0cHM6Ly9zdG9yYWdlLmdvb2dsZWFwaXMuY29tL3plbm4tdXNlci11cGxvYWQvYXZhdGFyLzAzMmUzNjRjMTUuanBlZw%3D%3D%252Cr_max%252Cw_90%252Cx_87%252Cy_95%2Fv1627283836%2Fdefault%2Fog-base-w1200-v2.png)
リスクベース認証とは?仕組みやメリット、注意点について徹底解説
SNSなどのWebサービスやネットバンキング、そしてECサイトでは、ユーザを識別するためにログイン認証が使われています。ログイン認証ではIDとパスワードを使って本人確認するのが一般的ですが、よりセキュアなログイン認証のために、「リスクベース認証」を導入しているシステムもあります。 今回はリスクベース認証の仕組みやメリットについて徹底解説します。 リスクベース認証とはログインを必要とするシステムにおいて、ユーザのアクセスログなどから行動パターンやOS、IPアドレス、ブラウザの種類などの情報を元にして追加の質問を実施し、より確実な本人認証を行うための方式の一つです。リスクベース認証により、ネットバンキングやECサイトなどのインターネットサービスを利用時のログイン認証を強化することができます。 リスクベース認証の仕組み 通常のログイン認証はユーザIDとパスワードの組み合わせが用いられることが一般
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第2章 アクセス制御
CAPTCHAが提供する機能はユーザ認証機能そのものではない。システム要件として自動化された大量アクセスを避けたい機能がある場合、その前に設けることを検討する価値はある。 CAPTCHAとは CAPTCHA とは "Completely Automated Public Turing test to tell Computers and Humans Apart" の略であり、「人間とマシンを判別するチューリングテスト」のことである。 CAPTCHA は、ブラウザ以外の自動化されたWebクライアントによって大量のリクエストを投入されては困る案件において、相手がマシンでないことを確かめる目的で用いられる。例えば、会員登録フォームやメッセージ投稿フォームのようなケースが挙げられる。 Webアプリケーションで用いられる CAPTHCA には、歪められノイズが加えられた画像から 文字列を読み取るよ
【決定版】Twitter APIにも使われるOAuth認証のしくみ
Twitter用の自作BotをPHPで作る際に勉強したんですが、なかなか複雑で理解するのに時間がかかってしまいました。 理解度を確認する意味でも、自作のWebアプリにユーザーのTwitterアカウントを紐付けてTwitter APIを利用するシーンを想定して解説してみようと思います。 「アクセス・トークン(Access Token)」をTwitterから得るのが目標です OAuthによる認証がうまくいくと、Twitterのような既存のサービスで管理されているユーザーアカウントを自分のWebアプリ上とも共有できるようになります。 そのためには、ユーザーごとに「アクセス・トークン(Access Token)」というものをユーザー情報管理サービス側(今回の場合はTwitter)から発行してもらう必要があります。 アクセス・トークンとは何ぞ? アクセス・トークンというのは、Twitterへツイート
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
