セキュアなトークン管理方法 - Carpe Diem
概要 クライアント↔サーバ間の認証・認可情報としてのトークン管理はWebサービスとしては必ずつきまとうものですが、一方できちんと実装しないとセキュアに管理はできません。 今回はそのトークン管理方法の一例を紹介します。 要件 今回の主な要件は以下です。 AuthサーバとResourceサーバは別で管理する(負荷特性が異なるので) 認証するとAuthサーバはrefresh tokenとaccess tokenを返す access tokenはJWT形式 access tokenはクライアントのオンメモリで管理する access tokenの期限は短く(1時間以内) refresh tokenを使ってaccess tokenを発行できる refresh tokenはrevoke可能である 認証情報に変更があれば(パスワード変更など)refresh tokenをrevokeできる Resource
【Angularユーザーのための認証API自作講座①】AWS Cognitoでセキュアなユーザー認証を自力で構築する
【Angularユーザーのための認証API自作講座②】Serverless FrameworkでCognitoオーソライザー付きRestAPIを構築する 認証ありのECサイトを自分の手で一から構築するのは中々に骨の折れる作業で、Auth0などのサードパーティ製のAPI方式認証サービスを使うほうが圧倒的にハードルが低くなります。 とはいえ、サイトの規模が大きくなってくるとサービスの利用料がエンタープライズ版への移行が望ましく、それなりの維持費用が発生してくるようになります。 そこで今回は、管理費を圧迫しつつあったAuth0のようなユーザー認証管理サービスの利用を諦めて、独自のユーザー認証システムを一念発起してCognitoへマイグレーションする際に行うべき作業をまとめてみました。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OSC大阪 パスワード認証は人類には早すぎる ~ IDaaSを使ったソーシャルログインのすすめ ~
