そもそもJWTに関する私の理解は完全に間違っていた! - ブログなんだよもん
TL;DR ステートレスなJWTはそもそもセッションの代替では無い アクセストークンとしての利用が基本で数分レベルの短寿命な有効期限で利用 従来のセッションに近い概念はリフレッシュトークン。てか、リフレッシュトークンはセッションでも(たぶん)良い ユースケース的にモノリスには不要。SPAでMSAな時にメリットが出て来る。 はじめに Webで認証システムといえばセッション! と言う感じのレガシーおじさんなのですが、最近はJWTとかも出てきてとても気になっていました。新しいものは使ってみたくなりますよね? なので以前軽く調べてみたたのですが「JWTは危ない」とか「JWTをセッションに使うな」的な記事が大量に出て来ます。 co3k.org qiita.com 一方で反論記事もあり色んな議論が渦巻いています。そもそも利用を推奨する記事も多い。 auth0.hatenablog.com この辺りで「
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita
SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証React SPAのログイン周りについて、「これがベストプラクティスだ!」という情報があまり見当たらないので、様々な可能性を模索してみました。 いろいろな状況が想定され、今回記載する内容に考慮の漏れや不備などがありましたら是非コメントでご指摘いただきたいです!特に「おすすめ度:○」と記載しているものに対しての批判をどしどしお待ちしております! この記事でおすすめしているものであっても、ご自身の責任で十分な検討・検証の上で選択されてください。 前提 想定しているAPIは、 ログイン外のAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新するなどの操作がない とし、そのためログイン外では
認証プラットフォーム Auth0 とは? - Qiita
2017/06/28にドコモベンチャーズがAuth0に出資をしたというニュースが流れましたが、Auth0とはどんな会社で、どんなサービスを提供していのでしょうか? Auth0とは Auth0 Inc.は2013年に米国Microsoftに在籍していたメンバーを中心に創業した会社で、Washington州Bellevueに本社があります。創業メンバーはEugenio Pace(CEO), Matias Woloski(CTO) などMicrosoftに在籍していたメンバーのほか、Node.jsの認証フレームワークである"Passport"の開発者であった Jered Hanson, AT&T, Amazon.com, 国防総省での勤務経験のある Eugen Koganも創業メンバーです。 Auth0 統合認証プラットフォーム Auth0はWebアプリやモバイル、APIなどに対して認証・認可の
まだログイン認証で消耗してるの? ~ALBで簡単認証機構~ - Gunosy Tech Blog
こんにちは!広告技術部のUT@mocyutoです! 最近はスマブラでなんのキャラを使おうか迷っています この記事はGunosy Advent Calender 19日目の記事です。 昨日の記事は@mathetakeのpeer-to-peerはGoogleの夢を見るかでした。 はじめに OIDC ALBの認証機能 一般的な認証機構 ALBを利用した認証 データフローの説明 実際の導入 APIでjwtから認証情報を取得する例 まとめ はじめに みなさんユーザ認証はどうやって作っていますか? フレームワークを使って実装していますか? それともイチから自前で作っていますか? SSOのシステムとかはどうでしょう? OIDCとAWSのALBを使えば簡単にユーザのログイン管理を作ることができます。 (少し煽り気味のタイトルですいません ;) OIDC OpenID Connect と言って、OAuth2
はじめてのAWS Cognito!! - Qiita
「Amazon Web Services Advent Calendar 2017」20日目の記事です はじめに 今回、Advent Calendarへの投稿が「Qiita」デビューです。 あと、どうでも良い情報として、本日は、私の誕生日です(四十路です・・)。 先日、「AWS SDK for JavaScript」を使用してCognitoを使用したのですが、諸々の用語や抑えどころが分からずに悩んだ点がいくつかあったので、「はじめてのAWS Cognito」と題してポイントをまとめてみました。 私自身も手探り感満載だったので、コメントやご助言頂けると嬉しいです! Cognito Syncについては、まとめてないので、こちらを期待されている方は、スルーしてくださいw。 1.そもそもCognitoとは? ・ AWSが提供する認証・認可基盤です。通常は、IAMユーザーのアクセスキーや、インスタン
公開鍵暗号について理解が足りていなかったのでメモ - かせいさんとこ
これは何? github にコミットする時とか、heroku にデプロイする時とか、 認証に公開鍵使うけど、いまいちちゃんと理解していないのでまとめた 目次 暗号化の方法 共通鍵暗号 公開鍵暗号 HTTPS TLS/SSL 公開鍵証明書 SSH 公開鍵認証 具体的な手順 暗号化の方法 共通鍵暗号 送信者と受信者が共通の秘密鍵を持って、暗号化と複合を行う たとえばこんな感じ 平文 : 1234 秘密鍵 : 5678 暗号化 : 1234 x 5678 暗号文 : 7006652 復号化 : 7006652 / 5678 送信者側は、平文を、秘密鍵で暗号化して、暗号文を受信者に送る 受信者は、暗号文を、秘密鍵で復号化して、平文を得る 共通鍵暗号の弱点 最初に鍵を受信者に渡す必要があるが、その時に盗聴されるリスクがある 渡す時暗号化すれば良いけど、その暗号化の鍵を... となる 多人数で秘密の通
ASP.NET Identityカスタマイズに挑戦 - かずきのBlog@hatena
ASP.NETの新しい認証に興味津々だったので、ちょっと遊んでみました。 デフォルトで提供されてるEntity Frameworkを使用したものやGoogleやMSアカウントなどを使ったものは無視して、自前で用意した認証情報でログインできるところまでやってみました。 プロジェクトの作成と参照の追加 空のASP.NETアプリケーションを作成して、以下の参照をNuGetから追加します。 Microsoft.Owin.Host.SystemWeb OwinをIISで有効にするために必要みたい。(これが無くてOwinのStartupが動かない…!ってはまった) Microsoft.AspNet.Identity.Owin 認証に必要なライブラリをごそっとひっぱってくるために追加。 認証に必要な初期化コードの追加 空で認証もなんもなしの状態のASP.NETアプリケーションで作ったので、認証に必要な初
はだかの隊長日記 » SQLServerでネットワーク接続ができなかった時の対処
SQLServerでネットワーク接続ができなかった時の対処法を記載。 ここでのバージョンはSQLServer2008、OSはWindows2008 Server。 参考文献:http://www.atmarkit.co.jp/fdotnet/chushin/introwinform_09/introwinform_09_01.html ①TCP/IPの設定を行う 1.SQLServer構成マネージャを起動 2.[SQLServerのサービス]を選択 3.SQLServerとSQLServiceBrowserが起動していることを確認(起動していなければ起動する) 4.[SQLServerネットワークの構成]-[MSSQLSERVERのプロトコル]を選択 5.TCP/IPの状態が有効になっていることを確認(無効であれば右クリックして有効化を選択して有効にする) 6.TCP/I
Windows 8 Enterprise評価版のアクティベーションを行ってみる: 適当に更新diary
さて、一つ前の記事でThinkPad X121eにWindows 8 Enterpriseのインストールを行い、無事動作しとても快適なのですが、これは評価版なのでプロダクトキー等はありません。 ですので、liveアカウントにログインせずに利用すると右下にライセンス認証を求める透かしが表示されたり、アカウントログインを行って90日経過した後正常にに利用できなくなってしまうようです。 以前のWindows 7までは30日はアクティベーションせずに利用できる猶予期間があったのですが、どうやら廃止されたみたいですね。 このEnterpriseを90日も使う気がしませんので別になんでも良いのですが、ちょっと気になったので調べてみました。 Vista/Win7でも有ったようなのですが、ライセンス認証にはキーマネジメントサービス(KMS)認証と普通のキー入力を行いマルチプル アクティベーション キー(M
)
machineKey 要素 (ASP.NET 設定スキーマ)
Configures keys to use for encryption and decryption of forms authentication cookie data and view-state data, and for verification of out-of-process session state identification. <machineKey validationKey="AutoGenerate,IsolateApps" [String] decryptionKey="AutoGenerate,IsolateApps" [String] validation="SHA1" [SHA1 | MD5 | 3DES | AES] decryption="Auto" [Auto | DES | 3DES | AES] /> Attributes and Ele
WebMatrix.WebData.WebSecurity を利用したユーザー認証(その1) | 徒然なブログ
実生活で接点のない人のユーザー認証を行うウェブサイトの構築を考えたときに、ASP.NET MVC で提供されているものよりも WebMatrix で提供されているもののほうが魅力的に見える点があります。 メールを利用した登録確認が行える パスワード忘れによるパスワード・リセットの際に、リセットの手続きの前に本人確認をメールで行うことで、新しいパスワードの受け渡しの煩雑さを回避できる(この点については「秘密の質問」という手もありますけど) そこで、「Razor 構文と ASP.NET Web ページ」の「第 16 章 セキュリティとメンバーシップの追加」を参考にして、認証に WebMatrix.WebData.WebSecurity を利用するものを書いてみました。なんとなく面白そうですしね 😉 (2013/06/25 追記) ASP.NET MVC 4 で WebMatrix で提供され
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
