Auth0で脆弱なWebアプリケーションを作る~設計編~ - Qiita
はじめに 今から1つ大きな脆弱なポイントがあるアプリケーション(フィクション)の設計を紹介します。どこに問題があるか考えながら読んでみいただけると楽しめるかもしれません。 事業会社のCIOとベンダー企業のある話。 注 : この話はフィクションです CIO: 「ウチのECサイトにAuth0を導入しようと思う」 ベンダー: 「Auth0ですか、最近Oktaに買収されたIDaaSですよね」 CIO: 「そーそー、これを機にセキュリティリスクを転嫁してしまった方がええんやと思う。ということで認証システムのリプレースよろしく」 ベンダー: 「はい!!!」 数ヶ月後 ベンダー: できました! CIO: 「おー、じゃあテキトーにシーケンス図でも見せて」 ベンダー: 「はい、ではまずログインのところから。現在SPAで構築されているWebアプリケーションを認可コードフロー+PKCEで認証しトークンを取得しま
FirebaseUI でログイン機能を簡単に Android アプリに追加する
フィードバックを送信 FirebaseUI でログイン機能を簡単に Android アプリに追加する コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 FirebaseUI は Firebase Authentication SDK の上に構築されるライブラリで、アプリにドロップイン UI フローを追加できます。FirebaseUI には次の利点があります。 複数のプロバイダに対応 - メール / パスワード、メールリンク、電話認証、Google ログイン、Facebook ログイン、Twitter ログイン、GitHub ログインのログインフローに対応しています。 アカウント管理 - アカウントの作成やパスワードのリセットなどのアカウント管理タスクを処理できます。 アカウントのリンク - ID プロバイダ間でユーザー アカウントを安全にリンクできます。 匿
Firestoreセキュリティルールで認証有無によってアクセス権限を制御する - Qiita
0. 始めに (本記事は、拙作 Firestoreセキュリティルールを設定してみる の続きになっています!) 今回は認証情報を絡めてたルールを設定してみます! 0.Firestoreセキュリティルールを読み解く ← 前回 1.Firestoreセキュリティルールを設定してみる ← 前回 2.Firestoreセキュリティルールで認証有無によってアクセス権限を制御する ← 今回★ 1. 準備 毎度のことながら、以下が作業環境です1。 OS : Windows10 Home Node : v11.13.0 yarn : v1.22.10 事前にFirebaseコンソールからプロジェクトの作成も行います。 環境の用意やFirebaseプロジェクト作成については述べませんが、詳しくはこちらを(宣伝)。 Firebaseでデプロイしよう! 2. モデルとなるサイトの用意 2.1 認証を行うフォームと
0から始める Firestore + Firebase Authentication - Qiita
DMM.com Advent Calendar 2018 12日目の記事です。 GitHub : https://github.com/karayok/nuxt-firestore-sample-app 内容に間違い等あれば、 Pull Request / 編集リクエスト等いただけると幸いです。 よろしくお願い致します。 はじめに 本記事では簡単なブログライクなアプリケーションを例に、 Firestore + Firebase Authentication を使う際の基礎部分を説明します。 特徴 ログインユーザのみが記事を作成できる 記事の作成者のみが記事の削除・更新を行える ログイン・非ログイン問わず、すべてのユーザはすべての記事を閲覧できる Firestore について Cloud Firestore は GCP(Google Cloud Platform)のサービスの1つで、クライア
Firebase Authentication
plat_ios plat_android plat_web plat_flutter plat_cpp plat_unity plat_node plat_java ほとんどのアプリでは、ユーザー ID を識別する必要があります。アプリでユーザー ID を識別することにより、ユーザーデータをクラウドに安全に保存したり、ユーザーのすべてのデバイスで、カスタマイズされた同じ体験を提供したりできるようになります。 Firebase Authentication には、バックエンド サービス、使いやすい SDK、アプリでのユーザー認証に使用できる UI ライブラリが用意されています。Firebase Authentication では、パスワード、電話番号、一般的なフェデレーション ID プロバイダ(Google、Facebook、Twitter)などを使用した認証を行うことができます。 Fir
ユーザーを認証するための Firebase の使用 | OpenAPI を使用した Cloud Endpoints | Google Cloud
フィードバックを送信 ユーザーを認証するための Firebase の使用 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このページでは、Cloud Endpoints でユーザー認証をサポートする方法について説明します。 ユーザーを認証するには、クライアント アプリケーションが HTTP リクエストの承認ヘッダー内の JSON Web Token(JWT)をバックエンド API に送信する必要があります。API に代わって Extensible Service Proxy(ESP)がトークンを検証するため、API にコードを追加して認証を処理する必要はありません。ただし、選択した特定の認証方式をサポートするように OpenAPI ドキュメントを構成する必要はあります。 ESP では、JWT の発行者の公開鍵を使用して、パフォーマンスの高い方法で JWT
図解 OpenID Connect による ID 連携 - Qiita
ID 連携フローの説明 1 ウェブブラウザを使い、ウェブサービスのログインページにアクセスします。 2 ウェブサービスはログインページを生成し、ウェブブラウザに返します。ウェブサービスが外部のアイデンティティプロバイダ(IdP)との ID 連携をサポートしていれば、ログインページ内に ID 連携を開始するためのリンクが埋め込まれます。 3 ID 連携を開始するためのリンクをクリックします。 4 ID 連携開始の要望を受けたウェブサービスは、対象となる IdP への認証リクエスト(OpenID Connect Core 1.0 Section 3.1.2.1. Authentication Request)を作成します。 認証リクエストの形式は、リクエストパラメーター群を含めた、IdP の認可エンドポイント(RFC 6749 Section 3.1. Authorization Endpoi
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第2章 アクセス制御
複数のWebアプリケーションがユーザ認証の機能を外部に一元化することによって、ユーザがパスワードを覚える負担を低減することができる。また、Webアプリケーションのオーナは、パーソナル情報の管理の負担とリスクを外部に転嫁することができる。 外部のユーザ認証サービスと連係動作するしくみ パスワードを用いたユーザ認証機能として、Webアプリケーションから利用可能な外部サービスが、2005年頃から提供されるようになってきた。 参考資料: 『アイデンティティ管理技術解説』 ユーザによるアクセス要求を遮断できるコードを開発して、そこから外部のユーザ認証サービスとアクセス認可判定の処理を順に呼び出すようにする。この要求を遮断できるコードは、PEP(Policy Enforcement Point)の役割を果たす。 ユーザ認証の結果をPEPに伝達するしくみとしては、「HTTPリダイレクト」の機能が応用され
エンジニアなら知っておきたい、絵で見てわかるセキュア通信の基本 - Qiita
TLS 1.3は現在策定中ですが、 前方秘匿性 の問題から RSAのみ を用いた鍵委共有が禁止になる見込みです。(詳細は後述します) HTTPSとは 次に、HTTPSです。 HTTPS - Wikipedia HTTPS(Hypertext Transfer Protocol Secure)は、HTTPによる通信を安全に(セキュアに)行うためのプロトコルおよびURIスキームである。 厳密に言えば、HTTPS自体はプロトコルではなく、SSL/TLSプロトコルによって提供される セキュアな接続の上でHTTP通信を行うこと をHTTPSと呼んでいる。 とのことです。 HTTPの説明を割愛するとすれば、「SSL/TLSでセキュアにHTTPをやる」というだけの説明で済んでしまいます。 最近では個人情報等の観点から全てのサイトをHTTPSにするような動きが見られますが、元々HTTPSが使われやすかった
SPAとログイン認証 - ドクジリアン柔術少女 すから☆ぱいそん - ワルブリックス株式会社
ログインが必要なアプリケーションを SPA(Singe Page Application) として作る時に、「ログインされていなければログイン画面に飛ばす」入り口の処理をどこでやるかについての考察 典型的な Webアプリケーションでは、ログインが必要なURLへのリクエストが来たらセッション変数なりなんなりをデータベースと照合してログイン済みの状態でなければログイン画面にフォワードなりリダイレクトなりしてログイン処理に回す(そこからどう戻ってこさせるかは工夫する)という処理をサーバ側で行う。 いっぽう、AngularJSなどで作る SPAの場合は SPAらしくクライアント側で認証周りから行いたくなるものだけど、これを真面目にやろうとすると結構面倒なことを考えなければならない。なにぶん Ajaxは常に非同期で行われるものだから、SPAの開始部分でユーザーがログイン状態にあるかどうかをサーバーに
SPAでのログイン処理のやりかた - Qiita
概要 こちらの記事の続きです。 SPAの静的ファイルのデプロイの仕方 SPAでも、大体のアプリはユーザー登録やログイン機能があると思います。 その際に、SPAでどうやってログイン済みか否かを判別するか、その際のルーティングをどうするかについて正解がないように思うので、自分なりのやり方を共有します。 環境 NodeJS 5.X~ React 15.1 TypeScript 1.8 全体の構成はこちらをご覧ください。 https://github.com/uryyyyyyy/react-redux-sample/tree/spa-auth ゴール ログイン済みであれば、ログイン画面にアクセスしてもホーム画面にリダイレクトされる ログイン済みでなければ、どのページにアクセスしてもログイン画面にリダイレクトされる ログイン済みでない場合、アクセスしたページがレンダリングされる前にリダイレクトされる
JavaでTwitterのOAuthを書いてみました - n3104のブログ
OAuthについて前々から気になっていたので、やる夫と Python で学ぶ Twitter の OAuth - YoshioriのBlogを真似する感じでJavaで書いてみました。なお、あまり意味はないのですがJDKのライブラリのみで作成しました。 ※ 2013-08-03 に動作確認済みです。なお、その際に statuses/update API の Resource URL を 1.1 に更新しました。 OAuthの概要 要はユーザーIDとパスワードではなくトークンを利用して認証を行う仕組みです。OAuthプロトコルの中身をざっくり解説してみるよ - ゆろよろ日記がとても分かりやすいです。 実際に実装する際はAuthenticating Requests with OAuth | dev.twitter.comがマニュアルになります。あとは、用語や定義について確認したいことがあればR
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティについて。 個人的に勉強した内容をまとめたものですが、これをベースに会社の勉強会も開催したり。Read less
Google OAuth 2.0 を使い、Web アプリケーションに認証機能を追加する - #tech
=== 追記 2017年6月9日 === この記事は Google OAuth を利用し、 自分のウェブアプリケーションに「OAuth 認証」させようという記事です。 OAuth 2.0 は本来、認証(Authentication)ではなく認可(Authorization)を行うための枠組みです。 そのあたりの知識が曖昧な時期に「OAuth 認証」のための記事を書いたため、 いま見ると古びていて、認識が間違えているところもあるかと思います。 OAuth 2.0 のきちんとした知識については、@TakahikoKawasaki 先生の記事を参考にしてください。 OAuth 2.0 全フローの図解と動画 OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る 【第二弾】OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る =
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
認証処理を実装するならハッシュはSHAファミリよりBCryptを使おう | つかびーの技術日記