SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa
即戦力人材と企業をつなぐ転職サイト「ビズリーチ」は2009年にサービスを開始し、スカウト可能会員数は190万人以上(2023年1月末時点)のユーザーにご利用いただくサービスに成長しました。 今回、その「ビズリーチ」の認証基盤としてIDaaS(Identity as a Service)のOkta Customer Identity Cloud(Powered by Auth0)(以下Auth0という)の導入を行いました。 本記事では認証基盤を刷新するに至った背景とAuth0を用いて100万を超えるユーザーをログアウトさせることなく移行した方法についてご紹介いたします。 前提 本記事で得られる情報 本記事を読むことで以下のような情報を得ることができます。 IDaaSを選ぶ理由 IDaaSを用いて認証・認可を運用中のプロダクトに組み込んだ事例 運用中のプロダクトに組み込む際に発生しうる課題と対
Firebase Authentication 7つの落とし穴 - 脆弱性を生むIDaaSの不適切な利用 - GMO Flatt Security Blog
はじめに こんにちは、株式会社 Flatt Security セキュリティエンジニアのぴざきゃっと (@pizzacat83) です。 認証機構を自作せずに導入できる Firebase Authentication は様々なアプリケーションにて利用されていますが、その特性を十分に理解せずに導入すると、実は不具合や脆弱性が生じることがあります。そこで本稿では Firebase Authentication を利用するうえで、注意しなければ不具合や脆弱性に繋がりうる 7 個の「落とし穴」について解説します。 はじめに IDaaS の利点と欠点 落とし穴 1. 自己サインアップ リスク 対策 落とし穴 2. ユーザーが自身を削除できる 対策 落とし穴 3. 他人のメールアドレスを用いたユーザー登録 リスク リスク 3-1. メールアドレス誤入力によるユーザー乗っ取り リスク 3-2. 他人にメー
みなさま、認可の設計に苦しんでいるでしょうか?私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o
iCARE Developer Meetupは、月次で開催している株式会社iCAREが主催するエンジニア向けのLT勉強会です。18回目の今回は、Ruby on Railsをテーマに行いました。サーバーサイドエンジニアの越川氏からはToken認証機能について。 Rails APIモードで開発するときの認証用のトークンはどこに保存すればいいの問題越川佳祐氏:私からは、「Rails APIモードにおけるToken認証機能について」というテーマでLT(ライトニングトーク)をしようと思っていたんですが、スライドを作っていて「あれ、これ別にRailsだけの話じゃなくない?」と思ってしまいました。みなさんの中にも、そう思う方がいるかもしれないんですが、もうこれで作っちゃったのでご了承ください。 私は株式会社iCAREで、サーバーサイドエンジニアをしている、越川と申します。Twitterは@kossy07
こんにちは、柴田です。 今回は「会員制メディア」のチュートリアルを全3回に分けてお届けします。 === 認証編ページ作成編完成編=== 会員制メディアは、一部の記事は会員しか見れないような形式のメディアです。 ビジネスでは近年よくあるユースケースであり、もしかしたら個人ブログに導入してみても一風変わっていて面白いかもしれません。 また、応用すれば課金しないと見れない記事のような仕組みも作れると思います。 今回想定している仕様は以下の通りです。 記事一覧画面と全公開記事(/public配下)は事前生成をしておき、静的に配信する会員向け記事(/private配下)はログイン済みユーザーのみ閲覧可能とし、SSRで配信する Next.jsを用いてJamstackとSSRの合わせ技を行い、認証にはAuth0を用います。 1. Next.jsプロジェクトを用意まずは、Next.jsのプロジェクトを作成
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - GMO Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-memory方式であり、XSSへの耐性のなさ等の理由でlocalStorageで保存することを推奨していない しかし、XSSでアクセストークンを奪取できるのはin-memory方式でも同じのはず(検証は行いませんでした)。localStorage方式を過度に忌避する必要はないのではないか なお、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用
Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - GMO Flatt Security Blog
※追記: 本記事の続編としてin-memory方式からアクセストークンを奪取するPoCを下記記事で公開しました。ぜひあわせてご覧ください。 はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今かなり普及が進んでいると思いますが、Flatt Securityの提供するセキュリティ診断はAuth0に限らずFirebase AuthenticationやAmazon CognitoなどのIDaaSのセキュアな利用まで観点に含めて専門家がチェックすることが可能です。 ご興味のある方は是非IDaaS利用部
Auth0にPassKeyが搭載されたぞ!!!
はじめに 先日ふと Auth0 のダッシュボードを眺めていると、興味深い項目が表示されていました。 Passkey がある!!! なので、今回は Auth0 に搭載されたパスワードレス認証方式である Passkey の説明をしていきます。 なお、Auth0 の設定方法についてはAuth0 からリリースされた記事を参考にして、記載しています。 パスワード認証の課題 Passkey の説明をするまえに、パスワード認証の課題について見ていきます。 認証方法として当然とされているパスワード認証ですが、以下の 3 つの課題を持っています。 ① パスワードの使い回し ② 推測されやすいパスワードの使用 ③ フィッシングアプリへのパスワード入力 それぞれ見ていきましょう。 ① パスワードの使い回し ログインが必要なアプリにはそれぞれ異なるパスワードを使用するというのは皆さんご存知だとは思います。 とはい
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も
Auth0の無料プランが拡大。月間2万5000アクティブユーザーまで、独自ドメイン、パスキーによるパスワードレス対応も 認証プラットフォームを提供するOkta社は、Auth0の無料プランを拡大したと発表しました。 Auth0は、認証や認可にかかわる機能がクラウドサービスとして提供されており、SDKを用いてWebアプリケーションやモバイルアプリケーション、デスクトップアプリケーションなどに組み込むことで、通常のログイン名とパスワードを用いた認証はもちろん、Active DirectoryやGoogle Workspaceなどとの接続、Facebookなどを用いたソーシャルログイン、パスキーによるログインなどを簡単に実現します。 また、不正ログインに対する防御機能なども備えています。 無料プランで月間2万5000アクティブユーザーまで対応 これまでの無料プランは、最大で月間7500アクティブユ
Leaner Technologies でエンジニアをしている @corocn です。 社内では IDaaS 利用していきたいねという機運が高まっているのですが、toB で SAML 対応の IDaaS について比較検討してみて難しいな〜と思ったところをまとめてみました。 前提 BtoB SaaS では、初期のプロダクトの領域を起点に事業領域を隣接する領域に広げていくことが多いですよね。バックオフィス向けの SaaS を開発しているメガベンチャーを見ているとそう感じます。 新しく立ち上げたプロダクトを既存のユーザーさんにも提供したい。そうなると、必然的に複数のプロダクトに対して共通で ID 基盤を持ちたくなるはず。認証ドメインを分離しようとすると、自前で作るか、KeyCloack などの OSS をベースに運用するか、IDaaS の利用を検討することになるでしょう。 最初は認証基盤も含めて
はじめに なぜ内製化を選んだのか プラットフォーマーとしての説明責任 制約の解消とコスト削減 認証基盤を内製で持つリスク 移行の設計 並行稼働による段階的移行 使用するデータソースの統一(SSoT) 認証基盤の内製化、並行稼働をしてみて 認証基盤全体がコントローラブルになった 内製化で得られた価値 並行稼働について 発生した課題 まとめ はじめに こんにちは、ソフトウェアエンジニアの大山です。 enechainではこれまでユーザー認証基盤としてAuth0を利用してきましたが、事業の成長に伴い自社開発の認証基盤(eAuth)へ移行しました。 本記事では、Auth0から内製へ移行する意思決定の背景、移行の設計について紹介します。 なぜ内製化を選んだのか enechainでは元々Auth0を認証基盤として採用していました。 少人数のチームでサービスを立ち上げるフェーズでは認証認可の開発運用コスト
こんにちは。ROBOT PAYMENT (以下、ロボペイ)でエンジニアをしているtakamoriです。 私が所属しているチームでは、請求先マイページ機能を開発しており、その中でユーザー認証基盤をAuth0からCognitoへと移行させました。そこで今回は、Auth0からCognitoへのユーザー移行手順を書いていきたいと思います。 ※ 本記事ではAuth0やCognitoの環境構築は対象外で、それぞれの環境が構築済み前提となります。 移行手順 Auth0からユーザーをエクスポート Auth0ユーザー情報をCognitoユーザー情報へマッピング Cognitoへユーザーをインポート Auth0からユーザーをエクスポート Auth0からのユーザーをエクスポートするには、ExportUsersJob APIを利用します。GetUsers APIを利用して取得することも可能ですが1,000件の取得
インボイス管理サービス「Bill One」の認証を内製認証基盤に置き換えて認証基盤のコストを削減した話 - Sansan Tech Blog
Bill One Engineering Unit 共通認証基盤チームの樋口です。 Bill Oneでは昨年までAuth0を認証基盤として利用してきましたが、認証基盤を内製化することでコストを大幅に削減しました。 この認証基盤は、昨年12月に無事リリースされ、Bill Oneの認証を支えています。 今回は認証基盤の内製化に至った経緯と設計、移行プロセスについて紹介します。 Bill Oneについて 認証基盤に関する課題 解決方法の検討 IDaaS(Identity as a Service)について 設計とシステム構成について 認証基盤の設計 システム構成 アカウントの移行について メールアドレス・パスワードでのログインを利用しているユーザーの移行 SSO(Single Sign-On)の移行 振り返りと今後 ドメイン変更による問い合わせの増加 内製化によって体験の改善がスムーズに Bil
Hi, I’m Ryoichi Sekiguchi. ( @ryopeko ) I’m working as a Backend Engineer in Shippio. Today I will talk about our decision to choose Auth0 over AWS Cognito. Japanese follows English. What did we consider important?As a startup development team, we wanted to reduce our concerns about authentication. We then began to consider transferring the authentication infrastructure to an external service at t
BLOG Getting Unlimited Scalability with Okta Fine-Grained Authorization
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
Auth0徹底活用ガイド:導入エンジニアが知るべき技術的ポイントとベストプラクティス - ACES エンジニアブログ
タイトル はじめに:Auth0導入の動機と本記事で得られること Auth0のコアコンセプトを理解する テナント (Tenant): 分離と管理の基本単位 アプリケーション (Application): 認証・認可の対象 API (Resource Server): 保護対象リソース コネクション (Connection): 認証方法 Actions: 認証フローのカスタマイズ コアコンセプトのまとめ Auth0環境構築の実践 テナント戦略:開発・ステージング・本番環境の分離 アプリケーション設定:種類と主要パラメータ API(リソースサーバー)の定義と設定 認証フローの実装:詳細ガイド 適切な認証フローの選択 Auth0 SDKの活用(例:React SDKでの実装ポイント) コールバック処理、トークン管理とセッション (SPAにおけるベストプラクティス) Auth0 Actionsによる
📣 Hanko v2 Release: Build your custom login with the new JS SDK Modern Authentication. On Your Terms. Open source, privacy-first, and built to scale. Hanko is the fastest way you integrate passkeys, 2FA, SSO, and more—with full control over your data. Move between self-hosted and Hanko Cloud anytime. No lock-in, just Auth how it should be: secure, user friendly, and fully yours.
はじめに はじめまして、Drawerグループ所属のもりやです。 キャディは入社して約2年になりますが、ブログ記事を書くのは初めてです。よろしくお願いします。 私は入社時から 製造業データ活用クラウドCADDi Drawer の開発に携わっており、最初のRBACベースの認可を私が中心に実装しました。 その関係から、今はIDチームで認証認可周りの開発を担当してます。 今回は、CADDi DrawerでSSOをサポートしたことについて、主にAuth0の観点で書きます。 おことわり この記事は、Auth0をある程度使ったことがある方向けに書いています。 タイトルに「1年かけて」とありますが、開発着手からリリースまでの期間を指しています。 途中で他の機能開発をしていた期間も含まれており、丸々1年を全て開発に費やしたわけではない点にご留意ください。 CADDi Drawer とは 認証観点で簡単に書く
Auth0 を使って ID Token と Access Token の違いをざっくり理解する | DevelopersIO
みなさんは ID Token と Access Token の違いを理解していますか? Access Token を使用した保護された Web API を実装する機会は何回かありましたが、理解して使っていたかというとそうではありませんでした。プライベートな Web API にアクセスするときは、Access Token を Authorization ヘッダーに Bearer で渡せばいいんでしょ? ID Token?? の認識で、なんとなく使っていたような状態でした。最近、認証・認可や OAuth 2.0 / OpenID Connect を勉強する機会があり、2 つのトークンの違いについてざっくりと理解できましたので、ブログにしてみました。 このブログでは、OAuth 2.0 / OpenID Connect に対応している Auth0 という IDaaS を使って、この 2 つのトー
[前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO
import { Stack, StackProps, aws_apigateway, aws_lambda_nodejs, Duration } from 'aws-cdk-lib'; import { Runtime } from 'aws-cdk-lib/aws-lambda'; import { Construct } from 'constructs'; export class LambdaAuthorizerWithAuth0Stack extends Stack { constructor(scope: Construct, id: string, props: StackProps) { super(scope, id, props); //HelloWorldするLambdaの作成 const nameHelloWorldFunc = "Hello_world_func
![[前編] AWS CDKで API Gateway + Lambda 構成のREST APIを構築して Auth0 + Lambda Authorizerの認可機能を導入してみた | DevelopersIO](https://cdn-ak-scissors.b.st-hatena.com/image/square/5bc1416327ccb6e18fdddd4a995e1ad561d17a7b/backend=imagemagick;height=288;version=1;width=512/https%3A%2F%2Fdevio2023-media.developers.io%2Fwp-content%2Fuploads%2F2021%2F12%2Feyecatch_auth0_1200x630.png)
Auth0のSilent Authentication (サイレント認証)とRefresh Token Rotation (リフレッシュトークンローテーション)を完全に理解した (い) - 一から勉強させてください
Auth0 の Silent Authentication (サイレント認証)と Refresh Token Rotation (リフレッシュトークンローテーション)を完全に理解したい気持ちが急に高まってきたので書きます。 全体の流れとして React SPA with Auth0 での認可フローについて Silent Authentication (サイレント認証)について Refresh Token Rotation について まとめ みたいな流れで書きつつ、Silent Authentication や Refresh Token Rotation は何を解決しようとしているのか、それぞれのリフレッシュ方法でどのような挙動になるのか、などについて理解を深めていきたいと思います。 また、React SPA with Auth0 の認可フロー部分のイメージを沸かせるために以下のサンプルリ
はじめに Auth0いいですよね! 認証/認可をほとんどおまかせすることができて、ログインページも作ってくれるし、セッション管理もしてくれる。SPAでも。SDKで簡単にトークンの更新をiframeでよしなにやってくれたりと、かなり神ががっているIDaaSです。 そんなAuth0にOrganizationsという機能が2021年4月にリリースされていました。 最近はReactを触ったり、Kotlinを触ったりと全然別のことばかりしていたので、キャッチアップが遅れてしまったのですが、色々試したりして、辛かったマルチテナントの認証/認可が簡単になる可能性を多大に感じたのでまとめてみました。 ただ、もう少しコレがあれば...!と思う点もあったので、そこも踏まえてご紹介していきます。 ※ Auth0をちょっと知っている人向けに書くので、細かい用語の説明は入れません Auth0 Organizatio
Okta Customer Identity Cloud(旧Auth0)を活用したログイン画面のカスタマイズ方法 その2(Chat GPTも使って配色を設定してみる) - TC3株式会社|GIG INNOVATED.
Okta Customer Identity Cloud(旧Auth0)を活用したログイン画面のカスタマイズ方法 その2(Chat GPTも使って配色を設定してみる) 前回は、最も簡単なデザイン変更を行いましたので、今回はもう一歩踏み込んだデザイン変更をご紹介いたします。 今回参考にしたドキュメントはこちらです。 https://manage.cic-demo-platform.auth0app.com/docs/customize/universal-login-pages/customize-new-universal-login-with-the-no-code-editor 今回もダッシュボードから行えるカスタマイズですが、設定できる内容がとても多いため、まずは色の変更からご紹介いたします。 ダッシュボードのメニュー Branding -> Universal Login を開き、
TC3、エンタープライズ企業の複数サービス展開における、認証認可及びID管理をつかさどる統合マネージドサービス「Tactna(タクトナ)」をアーリーアクセス版として提供開始 - TC3株式会社|GIG INNOVATED.
TC3、エンタープライズ企業の複数サービス展開における、認証認可及びID管理をつかさどる統合マネージドサービス「Tactna(タクトナ)」をアーリーアクセス版として提供開始 ギグエコノミーを活用したデジタルサービス開発を提供するTC3株式会社(以下、TC3、本社:東京都千代田区、代表取締役:須藤 義人)は、この度、スーパーアプリ構想を筆頭とした複数のアプリケーションサービスを展開する上での、アプリケーション開発とアイデンティティ・アクセス管理のギャップを埋める統合マネージドサービスとして、「Tactna(タクトナ)」をアーリーアクセスとして限定提供開始いたします。このサービスにより、多くのエンタープライズ企業におけるスーパーアプリ構想 や プラットフォーマー構想の実現を後押しします。 背景 TC3は、ウェブアプリケーション開発及び認証認可の技術バックグラウンドを活かし、Okta社のパートナ
この記事は、IDaaSアドベントカレンダー 2022の23日目の記事です。 今回はAuth0のトライアル環境の申請方法をご紹介したいと思います。 (1)申請サイトにアクセスし、メールアドレスを入力する https://auth0.com/signup (2)パスワードを設定する 1passwordなどのパスワードマネージャーを利用してパスワードを設定しましょう。 ソーシャルログインでもアカウント作成を続けることが可能です。 (3)アカウント設定を行う 引き続きフローに従い、企業で利用するのか、個人で利用するのかを選択します。 (4)トライアルのテナントが作成されました! (3)の情報を入力し、少し待つとテナントが作成されました。左上にテナント名が記載されます。 はじめてAuth0を使う人はこの画面にある「I am a new Auth0 user」をクリックしてみましょう。 (5)Auth
Auth0️で実装する|ユーザー体験を向上するEmailのみでのシンプルなパスワードレス認証 - TC3株式会社|GIG INNOVATED.
はじめに 認証によるセキュリティの担保が大事だということは言うまでもないですが、セキュリティを万全にしようとすればするほど認証が終わるまでのハードルは高くなり、必然的にユーザー体験が落ちてしまうという結果に陥りがちです。 安全を優先するかユーザ利便性を重視するかサービス開発者にとっては悩ましいところですね。 安全性が高い認証のやり方としてMFA(Multi-factor Authentication:多要素認証)が広く使われています。ユーザー名とパスワードだけでなく、さらにもう1つ追加の検証要素を要求することで、万が一ユーザー名とパスワードが漏洩したとしても認証を突破される可能性を小さく出来る手軽な方法として普及しているようです。 ただ、このMFAも一部の人にとってはハードルが高いように思います。 と言うのはGoogle Authenticatorアプリなどを使ったMFA認証はスマホなどの
はじめに 今回はRailsのAPIモードとNext.jsを利用したSPA構成に、Auth0で認証機能をサクッと開発していきます。 Auth0は導入が簡単かつチュートリアルやドキュメントが豊富なので、初めての人でも簡単に認証機能を実装することができます。 直近で自分が行った新規開発案件でもAuth0が採用されることが多かったです。 なおAuth0についての詳しい解説は本記事では割愛するので気になった方は、こちらを確認してみてください。 またAuth0とFirebase Authenticationといった他の認証機能との比較記事はこちらで確認してみてください。 本記事で解説する内容はAuth0の公式ドキュメントに沿って解説していきます。 この記事の対象者 Next.js×Auth0で認証機能を開発したい RailsのAPIモードでAuth0の認証機能を開発したい Rails×Next.jsで
Auth0 Rate Limit完全ガイド:サービスの安定性を保つための重要ポイント - TC3株式会社|GIG INNOVATED.
はじめに Auth0を実サービスに利用する上で欠かせない観点として「Rate Limit」というものがあります。 https://auth0.com/docs/troubleshoot/customer-support/operational-policies/rate-limit-policy Auth0には様々な観点でRate Limitが設定されており、充分に理解した上でアプリケーションの設計をしないと、ユーザーが増加してきたタイミングで障害発生に繋がる可能性があり、注意が必要です。 また、アプリに求められる要件を満たすため契約のプラン変更が必要になることもあり(契約毎に Rate Limitが異なります:参考)、その場合、根本解決までのリードタイムが長くなり得ますので、早い段階で手を打つことが重要です。 今回は、特に重要な「APIのRate Limit」についてご紹介します。 Ra
【図解】B2Bサービスに活用できるAuth0のOrganizations機能とは? - TC3株式会社|GIG INNOVATED.
はじめに B2B向けのサービスは法人や部署のように組織単位でサービスを提供し契約を締結してもらい、その組織単位でサービスを提供するということが必要になります。Auth0ではこういったB2B向けのサービスにも認証認可機能を容易に実装できるような便利機能としてOrganizationsという機能が提供されています。 本ブログ記事ではそのOrganizations機能のご紹介と、実際にB2B向けサービス提供時に求められる主な要件でどのように活用できるかをご紹介いたします。 Auth0のOrganizations機能とは? まずはじめに、Auth0のOrganizations機能について簡単に説明します。冒頭で説明した通り、特にB2B向けのサービスを提供する場合に、サービスを組織メンバーとして認証認可させる必要がある際に使える便利な機能です。いわゆる1つのサービスをマルチテナント型に複数の組織(法
Okta CIC (Auth0) Enterprise Connectionsを活用した外部IdP(SAML, OpenID Connect)認証設定ガイド - TC3株式会社|GIG INNOVATED.
Okta CIC (Auth0) Enterprise Connectionsを活用した外部IdP(SAML, OpenID Connect)認証設定ガイド はじめに Okta CIC(Auth0)管理画面における認証関連設定項目 Okta CIC(Auth0)の認証方法(connection)は複数種類があります。例えば、ユーザー名/パスワードをAuth0に登録した上でログインする方法はDatabase Connectionsです。その他にも、Googleアカウントからの認証を実現するのであればSocial Connectionsがあります。Passwordless Connectionsについては以前のブログ記事にてご紹介しました。 このように様々な認証方法に対応していますが、本記事では、Enterprise Connectionsを利用した外部IdPを活用した認証をご紹介します。接続
試したこと1 Next.jsを使っているので、Next.jsにより特化していそうな nextjs-auth0 から試してみる。 https://github.com/auth0/nextjs-auth0#getting-started をみながらAuth0側の設定を行う。 Application TypeにSingle Page ApplicationではなくRegular Web Applicationを選択するのがポイント。 ドキュメントどおりに進めると、ログイン機能ができた。 Cookieには多分SDK内部でセットされたappSessionという名前のセッションIDっぽいものがある。 LocalStorageは空でした。 試してみたこと2 nextjs-auth0 でのアクセストークンの取得。 サーバーサイドでのアクセストークンの取得 ドキュメントによると、getAccessToke
こちらは GAOGAO Advent Calendar 2021 ことしもGAOGAOまつりです の2日目の記事です。昨日の記事は ますみんさん の リバースプロキシをDocker Compose環境で実現する でした。 こんにちは、GAOGAO の案件に携わらさせていただいている こうりん と申します。 よろしくお願いいたします。 この記事では、GoのAPIでAuth0のJWT認証をする方法をハンズオン形式で説明します。今回実装するコードは以下のリポジトリに公開します。 実行環境 maxOS Big Sur version 11.6 Node.js: v16.13.0 npm: 8.1.0 go: 1.16.3 Auth0とは Auth0 は IDaaS (Identity as a Service) に分類されるもので、クラウドでユーザー認証基盤を提供しているサービスです。ユーザーID
こんにちは、CX事業本部の若槻です。 認証管理プラットフォームAuth0を使うことにより、アプリケーションやシステムに認証や認可の機能をかんたんに組み込むことが可能となります。 Auth0: Secure access for everyone. But not just anyone. 今回は、React(TypeScript)アプリにAuth0による認証機能を組み込んでみました。 やってみた Auth0へのアプリケーション作成 まず、Auth0管理コンソールよりAuth0のアプリケーションを作成します。 下記よりAuth0の管理コンソールにログインします。Auth0アカウントが未作成の場合はこちらから作成して下さい。 Auth0 にログイン サイドバーメニューより[Applications]-[Applications]を開き、CREATE APPLICATIONをクリックします。 ダ
セキュリティ強度が最も高い業界標準FIDO2に対応した、Okta Customer Identity Cloud (Auth0)による多要素認証 - TC3株式会社|GIG INNOVATED.
セキュリティ強度が最も高い業界標準FIDO2に対応した、Okta Customer Identity Cloud (Auth0)による多要素認証 FIDO2とは 「FIDO2 とは」で検索するとたくさんの情報があるので、細かいことはこのブログでは紹介しませんが、FIDO2とは、WebAuthn(Web Authentication 略)というW3CとFIDOが定義する規格の総称です。WebAuthnはセキュリティが最大限担保されたものとされています。 この技術により、ユーザーのパスワードを管理することなく、ユーザー側がもつ端末などに格納される秘密鍵が認証に使われます。ユーザーは生体認証機能をもった端末やYubiKeyなどの外部端末を利用することが可能で、最もセキュリティ強度の高い手法と言われています。 最近公開されたAuth0のブログ「Not All MFA Is Created Equa
Auth0では、メールアドレスの検証ができます。これにより、「メールアドレスが未検証のユーザをログインさせない」などが実現できます。 おすすめの方 Auth0でメールアドレスの検証をしたい方 Auth0でメールアドレスを検証する方法を知りたい方 Auth0のメールアドレス検証 本記事での扱い メールアドレス検証方法とは、ユーザ情報のemail_verifiedをtrueにする方法とします。 メールアドレスの検証の方法 2つの種類があります。 ユーザが検証リンクにアクセスして、検証OKにする 管理側のアプリケーションで、検証OKにする Auth0のRulesやActionsを使えば、Universal Loginでサインアップしたとき・ログインしたときに検証メールを送信することもできそうです。 本記事では、下記の5つを紹介します。 ユーザ登録時、Auth0が検証メールを送信する。メール本文の
はじめにこんにちは。フューチャーの棚井龍之介と申します。認証認可連載の 4 本目を担当しました。 認証認可周りは最近触りたてでして、普段の開発業務では、Go・React・AWS を利用しています。 先日、React ベースのモバイル向け Web アプリに Auth0 の認証を実装したところ、Silent Authentication(サイレント認証)のタイミングでブラウザからトークンが消失し、ログイン状態が維持できない現象に遭遇しました。 調べたところ、Safari に搭載されているトラッキング防止機能の ITP(Intelligent Tracking Prevention / インテリジェント・トラッキング・プリベンション)が原因だと判明しました。 調べる過程で、Cookie の基本的な機能からアドテク周りの技術要素、最近のプライバシー保護トレンドについて触れる機会を得ましたので、技術
Auth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects
HomeNewsSecurityAuth0 fixes RCE flaw in JsonWebToken library used by 22,000 projects Update 1/31/23: Auth0 has withdrawn their security advisory on the JsonWebToken poisoning attack disclosed by Palo Alto Networks earlier this month. "After review and validation of community feedback regarding the viability of exploitation, it was determined that due to the multiple prerequisites required for succ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
100万ユーザーをログアウトさせずに新認証基盤に移行した話
認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)
認証用トークン保存先の第4選択肢としての「Auth0」 | ログミーBusiness
Next.jsとAuth0で会員制メディアを作る【1. 認証編】
BtoB SaaSにおけるIDaaSの選択が難しい
Auth0から内製認証基盤へ移行を決めた背景と移行方法 - enechain Tech Blog
Auth0からCognitoへのユーザー移行 - ROBOT PAYMENT TECH-BLOG
Why we decided to use Auth0 and not AWS Cognito
Okta Japan株式会社はAuth0株式会社と統合し、2022年2月7日よりワンチームとなります。
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
Hanko — Modern Authentication. On Your Terms.
Auth0を使って1年かけてSSOをサポートした話 - CADDi Tech Blog
Auth0 Organizationsという素晴らしい機能を今更ながら紹介する
ものの数分でAuth0のトライアル環境を手に入れる方法 - TC3株式会社|GIG INNOVATED.
Rails×Next.js×Auth0で認証機能をサックと開発する - Qiita
@auth0/nextjs-auth0 と @auth0/auth0-react の使い分け
Go APIでのAuth0 JWT認証ハンズオン - Qiita
React(TypeScript)アプリにAuth0で認証機能を組み込んでみた | DevelopersIO
Auth0でメールアドレスを検証する方法を調べてみた | DevelopersIO
Auth0のトークン取得とITPへの対応 | フューチャー技術ブログ
タムコム
www.afpbb.com
coublood.hatenablog.com
www.afpbb.com
prtimes.jp
www.afpbb.com
www.afpbb.com