Auth0で脆弱なWebアプリケーションを作る~設計編~ - Qiita
はじめに 今から1つ大きな脆弱なポイントがあるアプリケーション(フィクション)の設計を紹介します。どこに問題があるか考えながら読んでみいただけると楽しめるかもしれません。 事業会社のCIOとベンダー企業のある話。 注 : この話はフィクションです CIO: 「ウチのECサイトにAuth0を導入しようと思う」 ベンダー: 「Auth0ですか、最近Oktaに買収されたIDaaSですよね」 CIO: 「そーそー、これを機にセキュリティリスクを転嫁してしまった方がええんやと思う。ということで認証システムのリプレースよろしく」 ベンダー: 「はい!!!」 数ヶ月後 ベンダー: できました! CIO: 「おー、じゃあテキトーにシーケンス図でも見せて」 ベンダー: 「はい、ではまずログインのところから。現在SPAで構築されているWebアプリケーションを認可コードフロー+PKCEで認証しトークンを取得しま
ログインを安全かつシンプルにするAuth0
―どのようなプロダクトでしょうか。 Pace:至ってシンプルです。あらゆるアプリケーションのログインエンジンを開発しています。一般にはユーザー名とパスワードを入力してログインします。我々はそのログインの裏側を担っています。これを具体的に表すと、我々はログインに関わる2つの質問に答えていることになります。 1つは「あなたは一定の自信を持って自分が自分であると証明できますか?」という質問です。これに「はい」と答えるともう1つのコアな質問があります。これは「あなたには何の権限がありますか?」という質問です。例えば、「あなたが経費報告システムを使用する場合、経費報告書を提出できますか?」「特定の文書を読む権限はありますか?」「特定のコンテンツをダウンロードできますか?」などの質問です。これが私たちが行っているオーソライズシステムです。これは特に新しいものではありません。 しかし、ここ数年は質問にユ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Abillyz
