ID連携の説明によく出てくる「セッションとの紐づけ」とは
ritou です。 ElixirのTwitter OAuthライブラリ "ExTwitter" の使い方 のようなID連携の説明において 「●●をセッションに紐づけて保存しておきます」 みたいな書き方をよくしますが、これがよくわからんので教えてくれとの質問がありましたのでここにまとめておきます。 特別なことは書いていません。 Webアプリケーションの基本的なセッション管理機能 横文字多めで一言にまとめると、クライアント/サーバー間でステートレスなHTTPを利用するWebアプリケーションにおいて、セッション管理機能により複数のリクエストをまたがり情報を保持できるので、それによりステートフルな仕組みを実現できるみたいな話です。 一般的に、サーバーはセッションIDを(HTTP Cookieとして)クライアントに渡し、それにひもづくデータを(DBなどの)データストアに保持 (ただし、クライアントへ
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する | DevelopersIO
GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行する こんにちは、CX事業本部 IoT事業部の若槻です。 今回は、GitHub Apps + GitHub Actionsで必要なアクセス権限のみ付与した一時的なアクセストークンを発行してみました。 なぜGitHub Appsを使うのか GitHubではPersonal access tokensを使えばアクセストークンを簡単に発行することが出来ますが、スコープの粒度が粗く、操作可能なRepositoryの制限も出来ないため、必要以上のアクセス権限を付与してしまいがちです。 一方で、GitHub Appsを使用すれば、アクセス権限を細かく設定したアクセストークンを発行することが可能です。 About GitHub Apps - About apps - GitHub Doc
OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ
GitHub OAuthアプリを使ったスパム攻撃を停止させる
2024年2月21日ごろから、"Github Jobs"を名乗るGitHubの開発者ポジションをオファーするスパム攻撃が発生しています。 仕組みとしては、GitHubのIssueやPRでmentionをするとメールの通知が届くのを利用して、コメントでスパムメッセージを送りつけるものです。 以前からこのスパムは存在していましたが、今回おきた問題はGitHub OAuth Appを用意して、スパムコメントで24時間以内にここから申請してくださいという感じの誘導して、OAuthアプリの認証を行わせる攻撃が含まれていました。 このスパムOAuthアプリは、GitHubのprivateリポジトリの読み取りやコメントの読み書きなどの権限も持っていたため、このスパムアプリを認可してしまうと、その人のアカウントでさらにスパムコメントが増えるという問題が起きていました。 詳細は、次のGitHub Discu
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
はじめに この記事はAuth.jsがどのようなものか,どのように実装すればいいかなどをドキュメントを要約しながら紹介するものです. Auth.jsは2024/02/19現在ドキュメント整備中です.現在のドキュメントとは内容が異なる場合があります.この記事では旧ドキュメントの内容も交えて解説しています. Auth.jsとは? (https://authjs.dev/ より) Auth.js is a complete open-source authentication solution for web applications. Check out the live demos of Auth.js in action: Next.js SvelteKit SolidStart Auth.jsはwebアプリのための完全なオープンソース認証ソリューションです.その特徴として, 簡単に OAu
OAuth 2.0 for Browser-Based Apps Abstract This specification details the security considerations and best practices that must be taken into account when developing browser-based applications that use OAuth 2.0.¶ Discussion Venues This note is to be removed before publishing as an RFC.¶ Discussion of this document takes place on the Web Authorization Protocol Working Group mailing list (oauth@ietf.
Horizontal SaaS 647種類のAPI提供状況を調査:そこから見えてきた国産 SaaS APIの今 - CData Software Blog
こんにちは! CData Software Japan で API Horic 担当の 杉本@sugimomoto です。 みなさんは SaaS比較サイト BOXIL が公開している「Horizontal SaaS カオスマップ」というものを見たことはありますか? ボクシル運営のスマートキャンプ、最新SaaSカオスマップ制作 - SaaS業界レポート2019市場規模など先行公開 より 国内SaaSサービス最大手の比較サイトを運営しているだけあって、600種類以上のSaaSがカテゴリ毎にわかりやすくまとまっているカオスマップです。SaaS導入を検討している方であれば見ておいて損は無い資料ですね。 私も大好きな資料なんですが、どうしても物足りなかった要素が1つあります。それは「APIが提供されているかどうかわからない!」という点です。 以下の記事でもある通り現在の SaaS にとって「API」
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント #始めに #本書は、ISOG-J WG1の新技術に対する診断手法分科会によってまとめられたさまざまな技術に関する脆弱性診断手法ドキュメントです。 クロスサイトスクリプティングやSQL Injectionなどの著名な脆弱性は診断手法や対策なども浸透し、日本語で読める良質なドキュメントが複数あります。 本ドキュメントでは、これらの脆弱性ではなく、一般に診断が困難であったり特有の確認方法が必要となるような脆弱性についてターゲットを絞って記載しています。 脆弱性診断員はもとより開発者の方々も、本ドキュメントを参考に、自身のアプリケーションに脆弱性が紛れ込んでいないか確認していただければ幸いです。 執筆者一覧 (敬称略、順不同) #三井物産セキュアディレクション株式会社 廣田 一貴三井物産セキュアディレクション株式会社 山本 健太三井物産セキュ
追記 2020-05-13 この方法に問題があることをご指摘いただきました。本来関係ないクライアントがリソースサーバーにアクセスできる問題がありますので、取り急ぎこの方法は非推奨であることを書いておきます(では、どのようにすればいいのかというところをまた後日追記します)。 リソースサーバーと全く関係の無いクライアントが、全く関係のない文脈で正当に取得した ID トークンを用いて、リソースサーバーの API にアクセスできてしまうと思われます。リソース側が evil かどうかも関係なく、むしろリソースサーバーは騙される側ですね。図を参照してください。 pic.twitter.com/kKCZohOgu2 — Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect (@darutk) May 13, 2020 追記 2020-05-18 結論として
EngineeringSecurityBehind GitHub’s new authentication token formatsWe're excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As we continue to… We’re excited to share a deep dive into how our new authentication token formats are built and how these improvements are keeping your tokens more secure. As w
社内勉強会で発表した資料です https://github.com/kurochan/oidc-wireguard-vpn/
秘密情報をGitLabに格納することなくGoogle Cloud / AWSに対して認証する - エムスリーテックブログ
エムスリーエンジニアリンググループ AI・機械学習チームの笹川です。 趣味はバスケと筋トレで、このところはNBAはオフシーズンですが、代わりにユーロバスケが盛り上がっていて、NBAに来ていない良いプレーヤーがたくさんいるんだなーと思いながら見ています。 夜ご飯を催促するためデスク横で待機する犬氏(かわいい) 今回は、パブリッククラウドへの認証に必要な秘密情報をGitLab自体に格納することなく、安全に認証する方法について紹介します。 CI/CDの実行時のパブリッククラウドに対する認証 ナイーブな手法とその問題点 OpenID Connectを用いた認証 Terraformでパブリッククラウド側の設定を記述する Google Cloudの場合 AWSの場合 GitLab CI/CDで認証する Google Cloudの場合 AWSの場合 認証ステップの共通化 まとめ We are hirin
Bolt for Python + AWS Lambda & S3 で運用するほぼゼロコスト Slack アプリ - Qiita
こんにちは、Slack の公式 SDK 開発と日本の Developer Relations を担当している瀬良 (@seratch) と申します 次世代プラットフォーム機能が盛り上がりつつある昨今ですが、以下の記事でも書きました通り、Bolt フレームワークも引き続きご利用いただけます。 この記事では、Bolt for Python を使ってほぼゼロコストで運用することができる Slack アプリのデザイン例についてご紹介します。 Bolt for Python とは? Bolt とは、Slack が提供する公式の Slack アプリ開発フレームワークです。全てのプラットフォーム機能をサポートしており、Express.js のルーティング機能に似たインターフェースでリスナー関数を登録するだけで、様々なイベントに応答するインタラクティブな Slack アプリを簡単に開発することができます。
はじめに DPoP(ディーポップ)という仕様を紹介します。 OAuth 2.0 Demonstration of Proof-of-Possession at the Application Layer (DPoP) この仕様は、悪い人がアクセストークンを盗んだとしても、それだけでは API に対する不正アクセスができないようにするための仕組みです。 従来は、クライアントアプリケーションがアクセストークンを提示して API にアクセスしてきたとき、そのアクセストークンが有効であれば、API アクセスは許可されていました。しかし、DPoP などの Proof of Possession(PoP)の仕組みを用いると、アクセストークンを提示しているクライアントがそのアクセストークンの正当な所有者かどうか(=アクセストークンの発行を受けたクライアントと同一かどうか)もチェックされるようになり、アク
Google Cloud Platform(以降 GCP) の認証認可については GCP と OAuth2 などの記事があるが、 Compute Metadata credential そのものの解説はあまり十分にされているとは言えないので、今回一つの記事で説明する。 Compute Metadata Credentials と聞いてもピンと来ない人向けに書くと、「Cloud Run や Cloud Functions などの GCP のプロダクトから GCP の API を呼ぶのにサービスアカウントキーが必要ないこと」の裏側がどのように動いているかの話について説明する記事である。 Compute Metadata Credentials とは Compute Metadata Credentials は Google Cloud Platform(以降 GCP) の標準の credent
請求管理ロボのエンジニアリングマネージャーの白坂です。 先月2022年2月に、請求管理ロボでは認証基盤としてAuth0を導入しました。 導入検討から4ヶ月ほどかけてリリースしたのですが、これまで独自で作り込んでいた認証の機構に対して認証基盤サービスを導入することになったため導入した経緯や当社でIDaaS選定に際してポイントになったことを紹介します。 現在稼働しているシステムへIDaaS導入を検討している方の参考になればと思います。 どうしてIDaaSを導入したのか? 導入サービス決定のポイント 1. 導入のための実装コストが低い 2. BOT検知などのセキュリティ強化が容易 3. IDaaS利用コストは他のサービスと比べて高いが許容できた 導入するためのとったアプローチ 1. 要求のリストを作成 2. 導入候補のIDaaSを選定 3. 導入コストと拡張コストの見積もり 最後に どうしてID
で、1年ぐらい趣味と大学での研究を兼ねて色々開発した後、やっぱりこの分野はRubyよりNode.jsでやった方が良いなと思った
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
よくあるフローってのは Google の API ドキュメントを読んでたらよくでてくるやつ(Calendar API の例)。つまり: 前回のアクセストークンが保存されていたらそれを使い、なかったら localhost にサーバを立て、redirect_uri をそこに設定した認可のための URL をユーザに提示し、 code を受け取ったらアクセストークンと交換し、 トークンを保存する。 みたいな一連の流れ。これまでどの部分を抽象化したらいいのかあまり感覚がわからなくて手を出してなかったんだけど、いいかげん面倒なので書いてみた次第。 oauth2util package - github.com/motemen/go-nuts/oauth2util - pkg.go.dev 使い方は簡単で import "github.com/motemen/go-nuts/oauth2util" ..
こんにちは!バクラク事業部の@ysakura_です。普段はバクラクビジネスカードの開発をしています。 先日、Partner APIの開発を担当する事になり、その前段としてバクラクシリーズ全体で利用できる OAuth 2.0 の認可サーバーを開発しました。 OAuth 2.0 により、Partner APIのセキュリティ向上を目的としています。 今回は入門記事として、 OAuth 2.0 の元となる課題感 / OAuth 2.0 での解決方法 / API Key方式との比較 を画像を交えながら説明します。OAuth 2.0 は分かった様で分からない状態になる事も多いと思うので、理解の一助になれば幸いです。 ※ あくまで入門記事ですので、OAuth 2.0 の詳細なフロー図などは出てきません。 前提となるシナリオ 他社のシステム(SaaS等)にデータを連携するシーンを考えます。 例として、バク
Web API の JavaScript での取得方法について の質問があったので作ってみました。 See the Pen TexTra 翻訳 Demo by John Doe (@04) on CodePen. async function handle(e) { name = "extra"; key = "5b37d68901799f71e8937f26add0fafd06309732b"; secret = "71d1b17cfdc7e26e6232a9a750c038d2"; text = e.target.value; const oauth = OAuth({ consumer: { key, secret }, signature_method: "HMAC-SHA1", hash_function(base_string, key) { return CryptoJS.H
OpenID Connect is the de facto standard for handling authentication in the modern world.
JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム(署名アルゴリズム)としてnone(署名なし)を指定することにより、署名を回避して、JWTのクレームを改ざんする手法ですが、手法の解説は多いもの、脆弱なスクリプトのサンプルが少ないような気がしています。そこで、node.js用の著名なJWTライブラリであるjsonwebtokenを使った簡単なサンプルにより、alg=none攻撃の解説を試みます。 なお、jsonwebtokenの最新版では今回紹介した攻撃方法は対策されているため、以下のサンプルでは古いjsonwebtokenを使っています。 alg=none攻撃とは よく知られているように、JWTは以下のように3つのパートからなり、それぞれのパートはBase64URLエンコードされています。ヘッダとペイロードはエンコード前はJSON形式です
【JWT】 入門 - Qiita
JWTとは 公式サイト JSON Web Tokenの略 電子署名により、改ざん検知できる。 認証用のトークンなどで用いられる。 構成 ヘッダ、ペイロード、署名の3つから成る。 それぞれは、Base64でエンコードされている それぞれは、 . (ドット) で結合されている。
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。 サービス統括本部の都筑(@kazuki229_dev)です。 新卒4年目で普段はYahoo! ID連携のサーバーサイド、iOSのSDKの開発などを担当しています。 Yahoo! ID連携とは、Yahoo! JAPANのシングルサインオンやユーザーの属性情報を取得するID連携の仕組みです。 Yahoo! ID連携とは このYahoo! ID連携ではPKCEというOAuth2.0の拡張仕様を実装しました。 https://developer.yahoo.co.jp/changelog/2019-12-12-yconnect.html そこで、PKCEの基本的な話と、実装の際に調査したことをまとめてみました。 PKCEとは
パスワードレス認証導入その後|ころちゃん
ころちゃんです。本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 21日目の記事になります。開発ブログも兼ねています。 19日目の猫氏の記事でも引用してもらっていますが、今年はbosyuにメールアドレスログイン機能を追加したので、今年のうちに、書ける範囲で、振り返りしておきたいなと思い、アドカレに乗っかりました。 生体認証の仕組みの話を書こうと思いましたが、ネトゲの拡張がリリースされてしまい進捗が無になっているので断念。 前提・リリース時点で出した記事はこちら ・導入前: Twitter, Facebook によるSNSログイン ・導入後: 上記 + メールアドレスログイン ・Email OTP(One-Time-Password)の話で、FIDOの話ではない ・要求としては「SNSとは切り離された何かで認証したい」 メアドロ
Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog
こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato(@yusukesatoo06)です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセスと、そこで得た学びや気づきを共有できればと思います。 1. OAuthとは 1-1. OAuthの概要 1-2. OAuthのフロー 2. OAuthが必要な背景 2-1. 外部サービス連携 2-2. 他の連携方式との比較 3. OAuthの提供 3-1. 提供方式 3-2. 今回の選定方式 4. OAuthサーバの構築 4-1. Authleteについて 4-2. 必要なエンドポイント 4-3. システム構成 5. 開発を通じて 5-1. 開発を通じた
Linux Daily Topics Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ Linux Foundationは10月4日(米国時間)、BastionZeroおよびDockerとともに暗号化プロトコルのオープンソースプロジェクト「OpenPubkey」をローンチすることを発表した。 Linux Foundation, BastionZero and Docker Announce the Launch of the OpenPubkey Project -linuxfoundation.org The Linux Foundation, BastionZero and Docker are excited to announce the launch of OpenPubkey as a Linux
curlでKeyless Signingする (1) - OpenID Connect編 - knqyf263's blog
確実に忘れるであろう将来の自分と、Keyless Signingに異常な興味を持つ日本に数人しかいないであろう人達のための記事です。 背景 前提 Keyless Signing全体のフロー OIDCのフロー 認可コードの取得 IDトークンの取得 手動で試す OpenIDプロバイダーの情報取得 認可コードの取得 code_verifierの生成 code_challengeの生成 Authorization Endpointへのアクセス IDトークンの取得 IDトークンの検証 公開鍵の取得 公開鍵の生成 検証 参考 まとめ 背景 以前sigstoreのソフトウェア署名についてブログを書きました。 knqyf263.hatenablog.com その中でKeyless Signingについては別ブログにすると言っていたのですがサボり続けた結果、全て忘れ去り再び調べる羽目になりました。これはまた
NextAuth.js
NextAuth.js is becoming Auth.js! 🎉 We're creating Authentication for the Web. Everyone included. You are looking at the NextAuth.js (v4) documentation. For the new documentation go to authjs.dev.
Slackアプリ(OAuth)をささっと開発し、Slack App ディレクトリに掲載するまでの方法と対策まとめ - Qiita
Slackアプリ(OAuth)をささっと開発し、Slack App ディレクトリに掲載するまでの方法と対策まとめJavaScriptNode.jsAPIOAuthSlack Repsona LLCの@GussieTechです。「ガントチャートも無料でサクサク便利なプロジェクト管理ツール」Repsona(レプソナ)を開発しています。 クリックだけでできるSlack連携を実装しました。案外簡単で、Slack App ディレクトリへの掲載ハードルも高くなかったのです。実装や掲載までの方法、ハマったポイントなどを書きたいと思います。同様の機能を検討している方の参考になれば嬉しいです。 なぜ作ったのか? Slack連携は、Repsonaユーザーのみなさまからかなり多くのご要望をいただきました。開発後すぐにSlackコミュニティでも連携開始しましたが、更新がリアルタイムで確認できるのはかなり便利です。
【AWS】CognitoでGoogleソーシャルログイン。Amplifyと連携してVue.jsアプリケーションに組み込む - Qiita
前回、Qiita初投稿させて頂いた、個人開発のAWSサーバーレスWEBサイト「ボケさせて(BOKESASETE)」ですが、 前回記事 【個人開発】AWSサーバーレスアーキテクチャで機械学習とボケ。フロントエンドはVue.jsで遊ぶ おかげさまで、徐々にではありますが、ご登録頂けるユーザーも増えつつあります。 しかしながら、現状のフローではメールアドレス認証による会員登録しかできない状態となっていて、モダンなWEBサイトとは言えません。 せめて、ソーシャルログインぐらいは欲しいところです。 そこで今回、AWS Cognito × Vue.jsのWEBサイトにGoogleでログインするソーシャルログイン機能を追加しました、という話。 はじめに 写真で一言。ボケてみるよりボケさせて - BOKESASETE https://bokesasete.me/ ボケさせて(BOKESASETE)では、会
KeycloakによるAPIセキュリティの基本
連載の1回目である今回は、Keyclooakの基本および、API保護が必要とされる背景について解説します。 サービスがより活発に利用されることを狙って、企業や公的機関によるサービスのAPI(Application Programming Interface)公開が広がっています。また、自組織内でもモバイルアプリケーション開発やシステム間連携を行いやすくするために、システムがAPIを提供することが多くなってきています。その際、APIは限られた人やシステムにだけがアクセス可能にする必要があるため、認証・認可のようなセキュリティ技術が必須になってきます。 認証・認可は、OAuth 2.0の枠組みに基づくことが一般的ですが、OAuthは自由度が高い仕様であるため、誤って実装・構築してしまうとセキュリティホールが作りこまれてしまいます。本記事では、近年急成長を遂げている認証・認可サーバOSSである「
資料ダウンロード: https://www.authlete.com/ja/resources/videos/20200317/ 2020 年 3 月 17 日にオンライン開催した勉強会『OAuth & OIDC 勉強会 リターンズ【入門編】』の録画です。Authlete の川崎貴彦が、OAuth 2.0 と OpenID Connect の概要、JWS/JWE/JWT、ID トークン、OAuth 2.0 と OpenID Connect のフロー、JWK、PKCE、デプロイメントパターン、Authlete について説明しています。
Cognito ユーザープール + ALB の認証にソーシャルサインイン(Google)を追加してみた | DevelopersIO
ちゃだいん(@chazuke4649)です。 Amazon Cognito と Application Load Balancer を使用すると、AWSサービスだけで簡単に認証機能を実装できます。 過去に以下エントリにてこれらの構成は紹介されていました。 今回は、この構成にさらにソーシャルサインインを追加して、Cognitoユーザープールの認証でも ソーシャルサインインとしてのGoogle認証でも選べる状態を目指します。つまり、ALB + Cognito ユーザープール + ソーシャルサインイン(Google) という状態です。下図のような構成となります。 ちなみに、似ているようで違うパターンとして、「ALB + OIDC(Google)」の構成があります。詳細は以下エントリです。 こちらは、Cognito を経由せずに、直接 ALBの組み込み認証機能とOIDCとしてのGoogle認証を連
GitHub - twitterdev/twitter-api-typescript-sdk: A TypeScript SDK for the Twitter API
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
FAPIとKeycloakの概要
連載の1回目である今回は、FAPIの概要並びに、IAMのKeycloakのFAPI対応について紹介します。 はじめに サービスデリバリのアジリティを高めるために、今やサービス開発にAPIを利用することは必要不可欠となっています。また既存サービスに新たな価値を付与するために、APIを公開することも常套手段の一つとなっています。このようにAPIに触れる機会が日常にあふれている一方、APIに対して適切なセキュリティ設計を行わなかったために、機密性の高い情報が漏えいしてしまったり、金融取引に関わる不正操作を許してしまったりという事故や事件は後を絶ちません。攻撃者による攻撃が日々進化をし続けている中、APIを公開するシステムに求められるセキュリティ要件は日々高度化しています。 そんな中で注目を集めているのが、Financial-grade API Security Profile(以下、FAPI)で
IETF の OAuth Working Groupは、アイデンティティ分野における標準の作成と改良に熱心に取り組んでいます。この記事では JSON Web Token (JWT) の最新ベスト プラクティスについて書かれた直近のドラフトについて取り上げます。対象のドラフトでは、JWT の使用に際して陥りがちな落とし穴や、よく見られる攻撃方法に加えて、そうした問題に対する軽減策の実施方法を紹介していますので、ぜひご一読ください。 "JWT を標的とする特に一般的な攻撃方法と、具体的な保護対策が紹介されています" はじめにJSON Web Token (JWT) 仕様は、2 者間でのクレーム (属性情報) の伝送を目的とした、JSON ベースの形式について規定したオープン標準 (RFC 7519)です。 JWT を補完する標準として、JSON Web Key (RFC 7517), JSON
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth対応じゃないとメールの送受信ができなくなるかも? 年末年始はメールアプリを見直そう/Microsoft/Googleがメールサービスの基本認証を廃止へ【やじうまの杜】
Auth.jsを完全に理解する (基本編) #1 - Qiita
OAuth 2.0 for Browser-Based Apps
細かすぎるけど伝わってほしい脆弱性診断手法ドキュメント
アプリケーションを oauth2-proxy で保護して curl でアクセスするまで
Behind GitHub's new authentication token formats
WireGuardとOpenID Connectの連携をGoで実装してみた
図解 DPoP (OAuth アクセストークンのセキュリティ向上策の一つ) - Qiita
GCP の Compute Metadata Credentials について
請求管理ロボにAuth0を導入しました - ROBOT PAYMENT TECH-BLOG
websocket-client-simpleをruby-jpに移管した - 橋本商会
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
OAuth2 のよくあるフローを何回も書きたくない #Go - 詩と創作・思索のひろば
OAuth 2.0 が解決するAPI連携の課題 - LayerX エンジニアブログ
TexTraの翻訳 APIをJavaScriptだけで取得する - Qiita
Auth0 | The OpenID Connect Handbook
node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita
OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました
Linux Foundation、OpenID Connectを拡張した暗号化プロトコル「OpenPubkey」をローンチ | gihyo.jp
OAuth & OIDC 入門編 by #authlete
JWT の最新ベスト プラクティスに関するドラフトを読み解く
ron.mondaistock.com
akicyan6041.hatenablog.com
mikeneko3sei.hatenablog.com
www.pref.toyama.jp
webproduct-lab-blog.hateblo.jp
gakumongakumo.club