SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ!」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです!特に「おすすめ度:○」と記載しているものに対しての批判をどしどしお待ちしております! この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では
【Vue.js】【Firebase】routerを使ってログイン認証がないと見れないようにする設定方法 - かとのぼのマイコード・マイライフ
この記事は、Vue.jsとFirebaseでログイン認証を実装した際、ログインしていないと見れない画面を設定したい場合のサンプルコードと解説です。 サンプルコードは、サーバーはFirebaseで、Vue-Routerを使っている前提で説明しています。 1.Vue-routerのログイン認証判定のポイントは「meta」と「requiresAuth」 2.「router.beforeEach」を設定することで画面遷移する前にログイン判定 3.実際のサンプルコード 1.Vue-routerのログイン認証判定のポイントは「meta」と「requiresAuth」 ログイン判定が必要なパスだと設定するには「ルートメタフィールド(要するにmeta情報)」を利用します。 ルートメタフィールド | Vue Router 「router.js」にVue-routerのコードを記述していますが、そのroute
「ドコモ口座」「ゆうちょ銀行」「SBI証券」――2020年9月には金融機関やその利用者を狙ったサイバー犯罪が相次いで明らかになった。サイバーセキュリティの専門家である徳丸浩さんは10月21日、報道陣向けのセミナーで「これらに共通しているのはログインが狙われたこと。サイトの特性を熟知して攻撃している」と解説した。 9月に明らかになった金融機関へのサイバー犯罪事案は、NTTドコモの電子決済サービスであるドコモ口座やゆうちょ銀行を狙った不正出金、SBI証券への不正アクセスによる不正送金、ゆうちょ銀行が提供するVISAデビット・プリペイドカード「mijica」を悪用した不正送金など。 徳丸さんは、これらの犯罪に共通する傾向として、ログインに関するシステムの弱点を突かれたことや、各サービスの仕様などを熟知した人物による攻撃だと考えられることを挙げている。 不正出金事案 「かんたん残高照会」を悪用か?
Hiromitsu Takagi on Twitter: "バグ取り改訂版。再掲:銀行に限らず、Webのログイン認証(スマホアプリのリモート認証含む)のパスワード強度に係る設定自由度の評価を、こんな指標で評価して比較してはどうですかね。 https://t.co/MZo8DiwyX1 https://t.co/ApNgp5mZF9"
バグ取り改訂版。再掲:銀行に限らず、Webのログイン認証(スマホアプリのリモート認証含む)のパスワード強度に係る設定自由度の評価を、こんな指標で評価して比較してはどうですかね。 https://t.co/MZo8DiwyX1 https://t.co/ApNgp5mZF9
Laravelログイン画面 ルーティングの確認 ログイン画面が表示されるURLの/loginのルーティングをルーティングファイルであるweb.phpで確認しても見つけることができません。理由は認証機能に関するルーティングがAuth::routes()にまとめられているためです。 Auth::routes(); Auth::routes()はIlluminate\Support\Facades\Auth.phpファイルのroutesメソッドで、そのメソッドの中でstatic::$app->make(‘router’)->auth($options)が実行されます。 class Auth extends Facade { /** * Get the registered name of the component. * * @return string */ protected static
機種変更など一部の購入手続きのログイン認証方法変更について | お知らせ | ドコモオンラインショップ | NTTドコモ
平素はNTTドコモのサービス・商品をご利用いただき、誠にありがとうございます。 機種変更など一部の購入手続きにつきましては、これまでdアカウントによる認証にも対応しておりましたが、2021年11月26日(金曜)より、ドコモで契約いただいているモバイル回線(5G・4G・3G・LTEなど)でアクセスのうえ、4桁のネットワーク暗証番号にて認証する方法に統一いたします。 これにより、機種変更・契約変更、およびアクセサリー購入につきましては、現在ご利用のスマートフォン、タブレット(iPhone/iPad含む)から購入手続きをしていただくようお願いいたします。 なお、アクセスいただく際も、Wi-FiをOFFにしていただき、モバイル回線に切り替えた上で、お手続きを行ってください。 ご迷惑をおかけしますが、何卒ご了承をお願いいたします。 <2022年9月7日更新> 機種変更など一部の購入手続きについて、モ
Laravelの認証にはログインの認証の他にAPIの認証もあります。APIの認証については下記の文書で公開しているのでぜひ参考にしてください。本文書では触れない認証に関するGuardについても同様に下記で説明を行っています。 認証機能について 例えばGoogleのGmailやFacebook, Twitterなどのサービスを利用するためにはユーザIDとパスワードを使用してログイン/サインインを行わなければいけません。サービスの利用許可を行うために利用するチェックの仕組みが認証機能です。認証機能のおかげで認証に必要なユーザIDとパスワードを知っている人しか各サービスに保存されているデータにアクセスすることはできません。 Laravelの認証機能はデフォルトではメールアドレスとパスワードを利用して行います。 環境の構築 Laravel5.8、Macを利用して動作確認を行っています。まずは認証機
ラズパイ入手したらまずやること、デフォルトユーザーとSSHログイン認証を変更する:ラズパイのセキュリテイ対策(中編)(1/3 ページ) 今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュリティ対策を説明します。 (編集注)本連載の前編記事(あなたのラズパイは穴だらけ? ユーザーが検討すべき脅威への対策)では、Raspberry Piが抱える具体的なセキュリティリスクを紹介しています。併せてお読みください。 今回は、Raspberry Piユーザーが採るべきセキュリティ対策について、より具体的に解説していきます。まず、Raspberry PiのシャドーITを防ぐ方法を紹介したうえで、Raspberry Pi端末に対するセキュ
誰もが自由にコンピューターやサービスを勝手に利用できてしまっては、セキュリティ上問題があります。そこで現代的なOSやWebサービスは、使用開始前にユーザー名とパスワード(あるいはセキュリティキーや生体情報など)を利用し、自分が正当な利用者であることを証明しなくてはなりません。この行為を「認証」と呼びます。Ubuntuでもインストール時にユーザーを作成し、ログイン用のパスワードを設定しますよね。 家庭内の個人利用であれば、こうしたOS単位のユーザー認証でも問題ありません。しかし企業などでは、社員ごとにIDを発行し、そのIDを使って様々なITリソースへの認証を一元管理できると便利です。こうした要望を実現するため、従来ではActive DirectoryやOpenLDAPなどが利用されてきました。 Active Directoryはオンプレミスに設置し、組織内に閉じた使い方をするのが前提のディレ
米GoogleのiPhoneアプリ「Google Smart Lock」が1月13日にアップデートし、iPhoneをGoogleアカウントへの二段階認証ログインのためのセキュリティキーとして利用できるようになった。 利用するには、iOS 10以降で最新版のGoogle Smart LockをインストールしたiPhoneと、ログインする側の端末(PC、Macなど)もBluetoothをサポートしていることが必要だ。iPhone内蔵のセキュリティキーを使う。 設定すると、Googleアカウントへのログイン時、ユーザー名とパスワードを入力した段階で、ログインを確認するために設定したiPhoneでSmart Lockアプリを開くよう促されるので、iPhoneを端末に近づけてアプリを開き、確認画面で[はい]をタップするとログインできる。 この機能はAndroid端末では昨年4月から利用可能だ。 関連
SPA(Vue + RailsAPI)で何とかログイン認証機能 + CSRF対策を実装したので、ブログにメモしておきます。 実装の概要 使用した技術たち JWT(JsonWebToken) アクセストークン、リフレッシュトークンって? WebStorage JWTSession 遷移の概要(より正確な内容は要Gem参照) トークンストアの設定 バックエンド側の仕事 Signinコントローラー フロントエンド側の仕事 axiosのインスタンスの作成 main.jsでインスタンスの読み込み インスタンスの使用方法 ただ、ブラウザによって上手く動作しないものが… 3rd party cookiesとは? 余談 実装の概要 今回は、JWT + (WebStorage + Cookie)を使って実装しました。(後に用語説明します) WebStorageとJWTによるセッションの管理(ログイン状態の管
PHP のセッションを使ったログイン認証はなぜ安全なのか?
PHP のセッションを使ったログイン認証後の処理は、上のように簡単なコードで実装できてしまいます。利用者の大切な情報を守るための、とても重要な処理なのですが、こんな簡単なコードで大丈夫なのかと不安になるのは私だけでしょうか(^^;) そこで今回は、PHP のセッションを使ったログイン認証がなぜ安全なのかを、PHP のセッションの仕組みをふまえて検証してみました。 PHP のセッションの仕組みまずはじめに、簡単な例で PHP のセッションの仕組みを確認しておきましょう。 セッションIDのセット例えば次のような PHP が Webサーバーに設置されていたとします。 <?php session_start(); $_SESSION['sample'] = 'サンプル'; 1行目の「session_start()」でセッションを開始して、2行目でセッション変数 $_SESSION['sample'
Python + Flask を使ったWebアプリ作成④(ログイン認証編) - もぐもぐプログラミング
続きです。 今回はログイン認証の実装をします。 *参考 flask-bcrypt /公式ドキュメント flask-login /公式ドキュメント *環境 MacOS Python 3.6.3 Flask 1.0.2 Flask-Bcrypt 0.7.1 Flask-Login 0.4.1 *flask-bcrypt とは パスワードをハッシュ化するために用いられる、Flask拡張です。 パスワードを安全に保管するために、元データの数値をランダムな固定長の値に変換します。ハッシュ値は不可逆変換なので元の値に戻すことはできず、元データを隠した状態で保管しておくことができます。 一般的に使われるログイン認証ではこうして変換されたハッシュ値を保管しておき、ログインする際に入力したパスワードとハッシュ値を比較して認証しています。 このハッシュ値の生成に使われるのがハッシュ関数で、そのひとつが今回使う
はじめに ログイン認証が必要なWebViewアプリをWKWebViewを使って作る機会がありました。その際にCookie周りで困ることがあったので、共有のために記事を投稿します。 実現したい仕様 ネイティブで作ったログイン画面に認証情報をいれてログインすると、WebページのTOP画面に遷移 TOP画面以降は認証状態を保ったまま、WebView内で様々な画面に遷移 アプリ側は技術的にはこんな感じでいける?? アプリ起動時に、ネイティブで作ったログイン画面を表示 認証情報をリクエストパラメーターとしてログインAPIを叩く ログインAPIでtokenをアプリ内部に保持(tokenは例えばPHPなら、PHPSESSIDに該当) WebViewを扱うViewControllerに遷移して、WKWebViewをinitしてaddSubView init時に、WKWebViewにtokenをCookie
Cubase 12は2022年春ごろに発売。USBドングルは廃止され、自由度の高いログイン認証形式に変更|藤本健の"DTMステーション"
毎年11月に新バージョンがリリースされるSteinbergのCubase。今年はCubase 11.5が発売されるもの、と思い込んでいましたが、今年に限りちょっと状況が違うようです。11.5というバージョンはリリースされず、来年春ごろをメドにメジャーバージョンアップとなるCubase 12がリリースされることがSteinbergから発表されました。 そのCubase 12における最大のニュースともいえるのが、長年使われてきたCubaseのUSBドングル、Steinberg Keyが廃止され、Steinberg Activation Managerを使ったログイン認証形式になるということ。これでドングルを紛失してしまうリスクや、ドングルを忘れて使えないという心配、そしてドングルが壊れて使えなくなる……といったトラブルから解放されることになるわけです。また、Cubase 12が2022年春ごろ
Ciscoのログイン認証をFreeRADIUSのLDAPを経由してActiveDirectoryと連携する - Qiita
はじめに 先日、FreeRADIUSを利用したCisco機器のログイン認証の検証を行いました。 DockerのFreeRADIUSでCiscoのログイン認証+MAC認証+ダイナミックVLANした(CentOS8) が、ユーザ管理はActiveDirectoryで一元管理させたいので、前回作成したFreeRADIUSのDockerに、LDAP連携の設定を加えて、ActiveDirectoryに問い合わせに行くようにしました。 こんなことがしたい 今回の要件は以下とします。 ActiveDirectoryの特定のセキュリティグループに所属していないと、承認されないようにします。 特定ユーザには、ログインと同時に特権モード(enable)になるようなRADIUSアトリビュートを付与します。 作業内容 事前準備 FreeRADIUSの準備 まだFreeRADIUSがない場合には、以下エントリを参照
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ!」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです!特に「おすすめ度:○」と記載しているものに対しての批判をどしどしお待ちしております! この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では
React+react-router-dom+TypeScriptでログイン認証の仕組みを実装する方法を紹介します。 以下の仕様で実装します。 未ログイン時 ログインページにアクセス可能以外のページにアクセス時はログインページに遷移(アクセスしようとしたページの情報は保持しておく)ログイン後はトップページまたはアクセスしようとしたページに遷移ログイン時 ログインページ以外にアクセス可能ログインページにアクセス時はトップページに遷移ログアウト後はログインページ遷移ルーティング設定まずはログインページとトップページのルーティング設定を行います。 詳しくはReact react-router-domの基本的な使い方で紹介しています。 ログイン時のみ表示したいページ(「認証ルート」と呼ぶことにします)は別ファイルとして管理しています。 route.tsximport { Route, Switch
Posted: 2018.11.26 / Category: javascript / Tag: Vue Vue.js + Vuexでログイン機能を作るだけだと、ブラウザをリロードすると初期化されログアウトした状態になってしまいますね。 vuex-persistedstate というライブラリを使用するとストアの永続化を簡単に実装することができます。 データの永続化について JavaScriptでログイン情報を保持するには基本的にはローカルに保存する仕組みを作る必要があります。 ローカルに保存する仕組みとしてはクッキーが有名ですが、最近ではWebStorageを利用するのが一般的なようです。 WebStorageの中でもlocalStorageとsessionStorageがありますが、localStorageはブラウザを閉じてもデータを保持するのに対して、sessionStorageはブ
Djangoにあらかじめ備わっている(ビルドインされた)認証機能とUserモデルを利用して、ログイン画面(ログイン機能の流れ)を構築してみます。 Djangoには、ログイン・ログアウト・パスワード変更/リセット等の認証関連の機能、すなわち認証のビュー(Authentication Views)があらかじめビルドインされています(Djangoのビューは他のフレームワークおけるコントローラーのことです)。本記事ではこのうちのログイン・ログアウトのビューを利用してみます。 Userモデルのカスタマイズについて 認証のビューの説明の前に、ログイン時のユーザー名とパスワードで利用するUserモデルについての概要を説明します。DjangoにはすでにUserモデルが備わっています。このUserモデルを利用するパターンとしては「既存のUserモデルを拡張する」場合と「カスタムのUser モデルを置き換える
[asin:B07FTN333K:image:large] パスワードが漏れている!? Google Chrome の拡張機能でIDとパスワードの安全性に警告を出すようにしているのだけど、とあるメールアドレスとパスワードの組み合わせが流出しているらしい事がわかった。まずいことに複数のサイトで使い回していたので正確な流出経路は不明。ポイントサービス、メールマガジン、記事購読などの複数サービスに使っていた組み合わせなので、どこかがやらかしたのだろう。 Google や Twitter や Amazon などは二段階認証が使えるならそうしているし、パスワード自体も複雑かつ個別化しているので直ちに致命的なリスクはないと思う。それでも気分が悪いし、何かしらのサービスで不正送金されるといったリスクがある。そもそも今となっては登録しておく必然性もないサービスが多い。 独自ログインID認証の Web サー
Google APIとFirebaseでログイン認証し、YouTubeのチャンネルIDを取得してみた。【JavaScript】 ブログ強化月間2日目です。どうも、Reoです。 YouTubeのアカウント(厳密にはGoogle)でログインして、チャンネルIDを取得してみましたのでざっくりと紹介したいと思います。 Firebaseを使ってYouTubeのチャンネルIDを取得したかったんですが、Firebaseだけではダメっぽいので、Google APIとFirebaseを組み合わせて取得しました。 jsはチョット苦手なので、あまり丁寧には書けませんし、このアプローチで正解なのかわかりませんがザックリと書いていきたいと思います。 Firebaseからコードを貼り付けよう まずはFirebaseのコンソールを開き、プロジェクトを選択 > Authentication より 右上のウェブ設定をクリッ
クラウドソリューション開発部の藤井です。 負荷試験ツール k6 の紹介記事の第2弾として、応用例を解説させていただきます。 k6 って何だろうという方は、ぜひこちらの記事をご参照ください。 k6 は公式サイトに「シンプルなテストでも、無いよりはまし」とあるように、最初から複雑な設定やコードがフルセットで必要ではなく、JavaScriptで提供されている小さな独立したモジュールを柔軟に組み合わせて使うことができるようになっています。 今回は試験対象として、Cookieを使ったログイン機能を持つ典型的なWebアプリケーションを想定し、少し複雑な以下の方法について、コードの例を交えて解説致します。 ・HARファイル利用による試験シナリオ定義の簡略化 ・一括実行とGroup別の実行結果の表示 ・VUSごとのログイン情報の事前定義 ・Cookieと動的データの利用(ログイン認証とクロスサイトスクリプ
こんにちは、@nerusanです。 昨今のWebアプリケーションにおいて認証機能は、必須です。 それを実現する手軽な方法としてauth0やFirebase AuthenticationなどのIDaasがあります。 Firebase Autheticationでは、メールアドレスとパスワードの組み合わせの他にも、電話認証、Google、Twitter、Facebook、GitHub のログインなどに対応しており、かなり便利です。 今回は、そちらの使わず、Go、Redis、JWTを利用した認証機能を作る機会があったためそちらの共有ができたらと思います。 環境 golang v1.19 gin v1.8.1 jwx/v2 v2.0.8 要件定義 まずは要件定義を述べたいと思います。 大まかな要件定義は以下です。 サインアップには仮登録と本登録があり、メールアドレス認証が成功してから本登録する メ
Nuxt3でセッションを使用したログイン認証機能を作る
はじめに Nuxt3も安定してきたのでクッキーを使ってセッション管理するログイン認証機能を作ってみます。必要最小限ですがDBを使用した本格的な認証機能です。 主な仕様 主な仕様は以下のとおりです。 Nuxt3がベース MongoDBによるユーザ情報(ログイン情報)の管理 Redisによるセッション情報の管理 動作環境 動作させるプラットフォームはWindows10です。WSL2も使用します。 デモでは以下のソフトウェアが必要です。 Node v16.0以上 MongoDB v6.0(WSL2にインストール) Redis v7.0(WSL2にインストール)
Help us understand the problem. What are the problem?
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
相次いだ不正送金事件、ログイン認証の抜け穴を熟知か セキュリティ専門家の徳丸氏が解説
本気で詳細を理解したい人向けのLaravelログイン認証 | アールエフェクト
Laravelのログイン認証の基本(Authentication)を完全理解する | アールエフェクト
ラズパイ入手したらまずやること、デフォルトユーザーとSSHログイン認証を変更する
第774回 Ubuntuへのログイン認証をAzure ADで行う方法 | gihyo.jp
iPhoneをGoogleアカウントへのログイン認証のセキュリティキーとして利用可能に
SPAでのログイン認証とCSRF対策の実装(JWT使用) - Web備忘録
ログイン認証したあとに、WKWebViewでCookieを使ってセッションを保つ方法と失敗例 - Qiita
react-router-dom ログイン認証の仕組みを実装する
vuex-persistedstateでログイン認証の永続化
Django ログイン認証[login] [AbstractUser]
独自ログイン認証のサービスを解約したい気持ちと二段階認証のない楽天 - 太陽がまぶしかったから
Google APIとFirebaseでログイン認証し、YouTubeのチャンネルIDを取得してみた。【JavaScript】
k6 応用例その1:ログイン認証型Webサイトへの負荷試験の一括実行
【Go】RedisとJWTでログイン認証システムを作ってみた話
【OmniAuth + Devise】Twitterのログイン認証をテストする方法【Rspec】 - Qiita