(Translated by https://www.hiragana.jp/)
JWTの人気記事 127件 - はてなブックマーク

検索けんさく対象たいしょう

ならじゅん

ブックマークすう

期間きかん指定してい

  • から
  • まで

1 - 40 けん / 127けん

新着しんちゃくじゅん 人気にんきじゅん

JWTの検索けんさく結果けっか1 - 40 けん / 127けん

JWTかんするエントリは127けんあります。 認証にんしょうsecurityセキュリティ などが関連かんれんタグです。 人気にんきエントリには 『ちょっとでもセキュリティに自信じしんがないなら、 Firebase Authentication を検討けんとうしよう』などがあります。

JWTの関連かんれんエントリー

  • ちょっとでもセキュリティに自信じしんがないなら、 Firebase Authentication を検討けんとうしよう

    note のやらかしのあのへんについて。 認証にんしょう自作じさく、 Rails 、 Devise - Diary パーフェクト Rails 著者ちょしゃ解説かいせつする devise の現代げんだいてきなユーザー認証にんしょうのモデル構成こうせいについて - joker1007’s diary 認証にんしょうサーバーの実装じっそう本質ほんしつてきむずかしいです。セキュリティがからむものは「簡単かんたん実装じっそう」などなく、プロアマ個人こじん法人ほうじんわず、個人こじん情報じょうほうまもるというてんで、おな水準すいじゅん要求ようきゅうされます。悪意あくいあるハッカーはつねにカモをさがしていて、もし認証にんしょうやぶられた場合ばあい自分じぶんだけではなくだい多数たすう迷惑めいわくかります。初心者しょしんしゃだから免責めんせきされるといったこともありません。全員ぜんいんおな土俵どひょうたされています。 とはいえ、認証にんしょう基盤きばんつくらないといろんなサービスが成立せいりつしません。そういうときにどうするか。 Firebase Authentication で、タイトルのけんなんですが、 Firebase Authenticat

      ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう

    • 認証にんしょう認可にんかちょうサマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握はあくするほん

      認証にんしょう認可にんかについての知識ちしき必要ひつようになったので、基礎きそてきなことをまなんでいます。 一切いっさいなにらない状態じょうたいから手当てあたり次第しだいこまかく調しらべるのは大変たいへんだったので、ちょうサマリを整理せいりしてみようとおもいます。 このほんは「個々ここ要素ようそくわしくなる必要ひつようはないんだけど、概要がいようくらいはさっと把握はあくしておきたい」とか「手当てあたり次第しだい詳細しょうさい調査ちょうさをするまえに、一瞥いちべつしてこれからもうとしている領域りょういきちょう俯瞰ふかんマップをつくる」というかんじで使つかうことを想定そうていしています。 おなようほうやくったら、とてもうれしいです。 このほん筆者ひっしゃ理解りかい連動れんどうして追記ついき修正しゅうせいされる可能かのうせいがあります。

        認証と認可の超サマリ OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

      • HTML5のLocal Storageを使つかってはいけない(翻訳ほんやく)|TechRacho by BPS株式会社かぶしきがいしゃ

        概要がいよう 原著げんちょしゃ許諾きょだく翻訳ほんやく公開こうかいいたします。 英語えいご記事きじ: Randall Degges - Please Stop Using Local Storage 原文げんぶん公開こうかい: 2018/01/26 著者ちょしゃ: Randall Degges 日本語にほんごタイトルは内容ないようそくしたものにしました。 画像がぞうもと記事きじからの引用いんようです。 初版しょはん公開こうかい: 2019/10/19 追記ついき更新こうしん: 2024/04/05 -- リンク情報じょうほう記事きじ末尾まつび移動いどうしました 本気ほんきもうげます。local storageを使つかわないでください。 local storageにセッション情報じょうほう保存ほぞんする開発かいはつしゃがこれほどおお理由りゆうについて、わたしにはさっぱり見当けんとうがつきません。しかしどんな理由りゆうであれ、その手法しゅほう地上ちじょうからえてなくなってもらう必要ひつようがありますが、あきらかにえなくなりつつあります。 わたし毎日まいにちのように、重要じゅうようなユーザー情報じょうほうをlocal storageに保存ほぞん

          HTML5のLocal Storageを使ってはいけない(翻訳)|TechRacho by BPS株式会社

        • SPAのログイン認証にんしょうのベストプラクティスがわからなかったのでわりと網羅もうらてき研究けんきゅうしてみた〜JWT or Session どっち?〜 - Qiita

          SPAのログイン認証にんしょうのベストプラクティスがわからなかったのでわりと網羅もうらてき研究けんきゅうしてみた〜JWT or Session どっち?〜JavaScriptRailsJWT認証にんしょうReact SPAのログインまわりについて、「これがベストプラクティスだ!」という情報じょうほうがあまり見当みあたらないので、様々さまざま可能かのうせい模索もさくしてみました。 いろいろな状況じょうきょう想定そうていされ、今回こんかい記載きさいする内容ないよう考慮こうりょれや不備ふびなどがありましたら是非ぜひコメントでご指摘してきいただきたいです!とくに「おすすめ:○」と記載きさいしているものにたいしての批判ひはんをどしどしおちしております! この記事きじでおすすめしているものであっても、ご自身じしん責任せきにん十分じゅうぶん検討けんとう検証けんしょううえ選択せんたくされてください。 前提ぜんてい 想定そうていしているAPIは、 ログインがいのAPIにはPOST/PUT/DELETEのものがなく、GETのみ GETのAPIにはDBを更新こうしんするなどの操作そうさがない とし、そのためログインがいでは

            SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiita

            • JWTの関連かんれんエントリー

          • Microservices における認証にんしょう認可にんか設計せっけいパターン

            マイクロサービスにおける認証にんしょう認可にんかの、一般いっぱんろんとしての設計せっけいパターンを調しらべたところ、Web じょう複数ふくすう記事きじたようなパターンが登場とうじょうしていた。ここでは、まず認証にんしょう認可にんか実現じつげんしたい一般いっぱんてき要件ようけんと、そのマイクロサービスでのむずかしさを整理せいりし、認証にんしょう認可にんかけて調査ちょうさしたパターンをまとめた。 あくまで “一般いっぱんろん” なので、実際じっさいには個々ここのドメインにあわせてアレンジが必要ひつよう 往々おうおうにしてこの “アレンジ” に価値かち宿やどるものだが、まずはセオリーをっておきたいというモチベーションで調査ちょうさした Web じょう記事きじんでまとめただけなので、うごかしての確認かくにんはしておらず、理解りかいあま部分ぶぶんはご容赦ようしゃください 具体ぐたいてき通信つうしん方式ほうしきやサービスあいだ通信つうしんのセキュリティといった具体ぐたいろんまではめていない。このへんはサービスメッシュやゼロトラストネットワークといったトピックが登場とうじょうするとおもわれる これらは次回じかい以降いこうの Todo としています その

              Microservices における認証と認可の設計パターン

            • Web APIを手作てづくりする時代じだいわった?

              ::: message info これは[フィヨルドブートキャンプ Advent Calendar 2022 Part.1](https://adventar.org/calendars/7760)の25にち記事きじです。 昨日きのう記事きじは:@shujiwatanabe:shujiwatanabeさんの[質問しつもんしながら出来できるようにしていく](https://shu91327.hatenablog.com/entry/2022/12/24/091025)と:@saeyama:saeyamaさんの[Rails/Vue 編集へんしゅう画像がぞうをD&DでえしたときのActive Storageの保存ほぞん方法ほうほう](https://saeyama.hatenablog.com/entry/2022/12/24/000123)でした。 ::: ↓こういうのを職人しょくにん丹精たんせいめてひとひと手作てづくりする時代じだいわりました。 ```sh

                Web APIを手作りする時代は終わった?

              • SPAセキュリティ入門にゅうもん~PHP Conference Japan 2021

                2. 徳丸とくまるひろし自己じこ紹介しょうかい経歴けいれき – 1985ねん きょうセラ株式会社かぶしきがいしゃ入社にゅうしゃ – 1995ねん きょうセラコミュニケーションシステム株式会社かぶしきがいしゃ(KCCS)に出向しゅっこう転籍てんせき – 2008ねん KCCS退職たいしょく、HASHコンサルティング株式会社かぶしきがいしゃ(げん社名しゃめい:EGセキュアソリューションズ株式会社かぶしきがいしゃ)設立せつりつ経験けいけんしたこと – きょうセラ入社にゅうしゃ当時とうじCADきゃど計算けいさん幾何きかがく数値すうちシミュレーションなどを担当たんとう – その企業きぎょうけパッケージソフトの企画きかく開発かいはつ事業じぎょう担当たんとう – 1999ねんから、携帯けいたい電話でんわけインフラ、プラットフォームの企画きかく開発かいはつ担当たんとう Webアプリケーションのセキュリティ問題もんだい直面ちょくめん研究けんきゅう社内しゃない展開てんかい寄稿きこうなどを開始かいし – 2004ねんにKCCS社内しゃないベンチャーとしてWebアプリケーションセキュリティ事業じぎょうげ • 現在げんざい – EGセキュアソリューションズ株式会社かぶしきがいしゃ取締役とりしまりやくCTO https://www.eg-secure.co.jp/ –

                  SPAセキュリティ入門~PHP Conference Japan 2021

                • API設計せっけいまとめ - Qiita

                  はじめに 自分じぶんは2021ねん新卒しんそつでWebけい開発かいはつ会社かいしゃにフロントエンジニアとして入社にゅうしゃし2022ねんで2ねんになります。 実務じつむではReact×TypeScriptを利用りようしたフロントまわりとNode.js(Nest)やRailsをもちいたバックエンド(API)の開発かいはつをしています。 そのなか使つかっていたAPI設計せっけいについてあらためてまななおしたのでまとめてきます。 この記事きじ対象たいしょうしゃ エンジニア初心者しょしんしゃから中級ちゅうきゅうしゃ APIについてまなびをふかめたいひと この記事きじ目標もくひょう APIについてまな我流がりゅうではなくただしいAPI設計せっけいについてまなぶ この記事きじでやらないこと 具体ぐたいてきにコードをもちいたAPI設計せっけいかた説明せつめいかんしては下記かき記事きじ解説かいせつをしています。 APIについて APIとは APIは"Application Programming Interface"のりゃくで、直訳ちょくやくすると「アプリケーションを使つかいプログラミングを使つかってつなぐ」という意味いみ

                    API設計まとめ - Qiita

                  • JWTセキュリティ入門にゅうもん

                    SECCON Beginners Live 2023「JWTセキュリティ入門にゅうもん」の発表はっぴょう資料しりょうです。

                      JWTセキュリティ入門

                    • 攻撃こうげきしてまなぶJWT【ハンズオンあり】 - Money Forward Developers Blog

                      こんにちは。 マネーフォワードの新卒しんそつRailsエンジニア、きなこ ともうします。 マネーフォワードX という組織そしきで、日々ひびプロダクトの開発かいはついそしんでおります😊 突然とつぜんですがみなさんは JWT という技術ぎじゅつをご存知ぞんじでしょうか? わたし趣味しゅみでCTFというセキュリティコンテストに出場しゅつじょうするのですが、最近さいきんホットだとかんじるのがJWTに関連かんれんする攻撃こうげきです。 今年ことしの1がつはじめてJWTを題材だいざいにした問題もんだい遭遇そうぐうし、そのJWTの出題しゅつだい頻度ひんどつよまっているとかんじ、社内しゃないけてJWTにまつわる攻撃こうげきとおしてまなぶための記事きじいたところ、たくさんの反応はんのうをいただきました。 今回こんかい記事きじはその内容ないよう社外しゃがいけにアレンジし、ハンズオンをとおして実際じっさいにJWTを改竄かいざんし、るAPIを攻撃こうげきすることでJWT自体じたいまなべるようにしたものです。 ほん記事きじはJWTに興味きょうみがあるWeb開発かいはつしゃ想定そうていしていますが、そうでないほうたのしんでいただけるようにハンズオンを用意ようい

                        攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog

                      • Webアプリケーションのセッション管理かんりにJWT導入どうにゅう検討けんとうするさいかんがかた - r-weblife

                        おはようございます、ritou です。 qiita.com これの初日しょにちです。 なんのはなしみなさんはいままで、こんな記事きじにしたことがありませんか? Cookie vs JWT 認証にんしょうに JWT を利用りようするのってどうなの? JWT をセッション管理かんり使つかうべきではない! リンクるのは省略しょうりゃくしますが、としなんかける記事きじです。 個人こじんてきにこの話題わだい原点げんてん最近さいきん IDaaS(Identity as a Service) として注目ちゅうもくあつめている Auth0 が Cookie vs Token とか比較ひかく記事きじいたことだとおもっていますが、いまさがしたところ記事きじ削除さくじょされたのか最近さいきん記事きじにリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題わだいあつか記事きじは クライアントでのセッション管理かんり : HTTP Cookie vs WebStorage(LocalStorage / Sess

                          Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

                        • セキュリティ視点してんからの JWT 入門にゅうもん - blog of morioka12

                          こんにちは、ISC 1ねん IPFactory 所属しょぞくの morioka12 です。 この記事きじは IPFactory Advent Calendar 2020 の10日とおかぶんになります。 IPFactory という技術ぎじゅつサークルについては、こちらを参照さんしょうください。 ほん記事きじ最後さいご記載きさいされている余談よだんでも IPFactory の詳細しょうさい紹介しょうかいしています。 はてなブログに投稿とうこうしました #はてなブログ IPFactory Advent Calendar 2020 の10日とおか記事きじきました#JWT #security セキュリティ視点してんからの JWT 入門にゅうもん - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020ねん12がつ10日とおか 普段ふだんは Web Security や Cloud Security 、バグバウンティなどを興味きょうみぶん

                            セキュリティ視点からの JWT 入門 - blog of morioka12

                          • WebアプリケーションでJWTをセッションに使つかさい保存ほぞんさきは(自分じぶんなりに説明せつめいできれば)どちらでもよいとおもいます - 日々ひび量産りょうさん

                            以下いかのツイートをんで気持きもちがたかぶったので。 みんな、もうSNSでいがみうのはやめよう。 平和へいわきなJWTのはなしでもしようよ。 JWTの格納かくのう場所ばしょはlocalStorageとCookieのどっちがき?— 徳丸とくまる ひろし (@ockeghem) 2022ねん2がつ11にち というのも、JWTをセッションに使つかうときに保存ほぞんさきふくめて一時期いちじきなやんでいたので、そのとき自分じぶんかい。 ただ、かんがえるたびに変化へんかしているので、わるのかもしれない。 要約ようやく タイトル。 あとは優秀ゆうしゅう方々かたがたすで色々いろいろかんがえておられるのでそちらをむとよいでしょう。 SPAセキュリティ入門にゅうもん~PHP Conference Japan 2021 JWT カテゴリーの記事きじ一覧いちらん - r-weblife どうしてリスクアセスメントせずに JWT をセッションに使つかっちゃうわけ? - co3k.org JWT形式けいしき採用さいようしたChatWorkのアクセストークンについて -

                              WebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産

                            • GitHub Actions入門にゅうもん ── ワークフローの基本きほんてき構造こうぞうからOIDCによる外部がいぶサービス認証にんしょうまで - エンジニアHub|Webエンジニアのキャリアをかんがえる!

                              GitHub Actions入門にゅうもん ── ワークフローの基本きほんてき構造こうぞうからOIDCによる外部がいぶサービス認証にんしょうまで GitHubが公式こうしき提供ていきょうするGitHub Actionsは、後発こうはつながらよく使つかわれるワークフローエンジンとなっています。ほん記事きじでは、ふじ吾郎ごろう(gfx)さんが、典型てんけいてきなCI/CDのユースケースにそくしたワークフローの設定せってい管理かんりについて解説かいせつするとともに、注目ちゅうもくされているGitHub OIDC(OpenID Connect)の利用りようについても紹介しょうかいします。 GitHub Actionsは、GitHubが提供ていきょうするCI/CDのためのワークフローエンジンです。ワークフローエンジンは、ビルド、テスト、デプロイといったCI/CD関連かんれんのワークフローを実行じっこうし、定期ていき実行じっこうするワークフローを管理かんりするなど、開発かいはつにおけるソフトウェア実行じっこう自動じどうにないます。 ▶ GitHub Actions - アイデアからリリースまでのワーク

                                GitHub Actions入門 ── ワークフローの基本的な構造からOIDCによる外部サービス認証まで - エンジニアHub|Webエンジニアのキャリアを考える!

                              • 挫折ざせつしない OAuth / OpenID Connect 入門にゅうもん」のポイント - Authlete

                                このビデオについて このビデオは、2021 ねん 10 がつ 6 にち開催かいさいされた 「挫折ざせつしない OAuth / OpenID Connect 入門にゅうもん」の理解りかいふかめるかい のプレゼンテーション録画ろくがです。 2021 ねん 9 がつ 18 にち発売はつばいの「Software Design 2021 ねん 10 がつごう」では、OAuth/OIDC が特集とくしゅうされ、「挫折ざせつしない OAuth/OpenID Connect 入門にゅうもん・API をまも認証にんしょう認可にんかフローのしくみ」とだいし、Authlete 代表だいひょう川崎かわさき貴彦たかひこ寄稿きこうしました。 ほんプレゼンテーションでは記事きじのポイントや、理解りかいふかめるために重要じゅうようなポイントについて、著者ちょしゃ川崎かわさきがおはなしします。 文字もじこし はじめに 目次もくじ 記事きじだい1しょうだい2しょうだい3しょうは、こういう目次もくじになっています。 ここからピックアップして、 こんなことをはなしてます、というところを、 紹介しょうかいしたいとおもいます。 自己じこ紹介しょうかい Au

                                  「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

                                • 100まんユーザーをログアウトさせずにしん認証にんしょう基盤きばん移行いこうしたはなし

                                  そく戦力せんりょく人材じんざい企業きぎょうをつなぐ転職てんしょくサイト「ビズリーチ」は2009ねんにサービスを開始かいしし、スカウト可能かのう会員かいいんすうは190まんにん以上いじょう(2023ねん1がつまつ時点じてん)のユーザーにご利用りよういただくサービスに成長せいちょうしました。 今回こんかい、その「ビズリーチ」の認証にんしょう基盤きばんとしてIDaaS(Identity as a Service)のOkta Customer Identity Cloud(Powered by Auth0)(以下いかAuth0という)の導入どうにゅうおこないました。 ほん記事きじでは認証にんしょう基盤きばん刷新さっしんするにいたった背景はいけいとAuth0をもちいて100まんえるユーザーをログアウトさせることなく移行いこうした方法ほうほうについてご紹介しょうかいいたします。 前提ぜんてい ほん記事きじられる情報じょうほう ほん記事きじむことで以下いかのような情報じょうほうることができます。 IDaaSをえら理由りゆう IDaaSをもちいて認証にんしょう認可にんか運用うんようちゅうのプロダクトにんだ事例じれい 運用うんようちゅうのプロダクトにさい発生はっせいしうる課題かだいたい

                                    100万ユーザーをログアウトさせずに新認証基盤に移行した話

                                  • "JWT=ステートレス"からいちすためのかんがかた

                                    おはようございます、ritouです。 このはなしっかっていきます。 3ぎょうで ログアウトにJWTを無効むこうできない実装じっそう今後こんご脆弱ぜいじゃくせい診断しんだんで「OWASP Top 10 2021違反いはん」と指摘してきされるようになりそう(いま個別こべつにされてるかもしれないけど) JWTは単純たんじゅんなフォーマットなので、ステートレスなセッション管理かんりにおいてログアウトしたときに文字もじれつ自体じたい無効むこうできないけん独自どくじエンコード方式ほうしき(一般いっぱんてきにフレームワークのCookieストアとばれているもの)でもこりる 「セッションID vs JWTで内包ないほう以外いがいにも 「セッションIDをJWTに内包ないほう」もありる。既存きそん機能きのうのこしつつ「JWTで武装ぶそう」する選択肢せんたくしかんがえてみてはどうか。 ステートレスなセッション管理かんりでログアウトのさい文字もじれつ自体じたい無効むこうできない問題もんだい これはまえからわれていますし、なにとかいきおいのQiita記事きじかれるぐらいには一般いっぱんてきです。 2

                                      "JWT=ステートレス"から一歩踏み出すための考え方

                                    • マイクロサービスでの認証にんしょう認可にんか - Qiita

                                      複数ふくすうのクラウドサービスを利用りようしている(マルチクラウド)など、単純たんじゅんには閉域もう構築こうちくできない環境かんきょうでマイクロサービスアーキテクチャを採用さいようする場合ばあいには、サービスあいだ認証にんしょう認可にんか必要ひつようとなる。この場合ばあいのサービスあいだ認証にんしょう認可にんか方式ほうしきめる参考さんこうとなる、OSSやSaaS、Webサービスで採用さいよう方式ほうしきついて整理せいりした。 Istio サービスメッシュの実装じっそうとして有名ゆうめいなIstioではサービスあいだ通信つうしん以下いかのように制御せいぎょできる。 Istioの認証にんしょう認可にんかでは認証にんしょう主体しゅたいがService Identityというモデルで抽象ちゅうしょうされ、KubernatesやIstioで定義ていぎするService Accountにくわえて、GCP/AWSのIAMアカウントやオンプレミスの既存きそんIDなどをService Identityとしてあつかうことができる。 サービスあいだ認証にんしょう (Peer Authentication) は、かくサービス (Pod) に設置せっちするSideca

                                        マイクロサービスでの認証認可 - Qiita

                                      • マイクロサービス時代じだいのセッション管理かんり - Retty Tech Blog

                                        この記事きじはRetty Advent Calendar 2019 21にち記事きじです。エンジニアの かみ@pikatenor がおおくりします。11にち記事きじかれた「弊社へいしゃエンジニアのかみちゅうにんめいであり実名じつめいです)」とはわたしのことです。 qiita.com さてはまさにマイクロサービスだい航海こうかい時代じだいだい規模きぼした組織そしき肥大ひだいしたコードベースのメンテナンスを継続けいぞくてきっていくべく、アプリケーションを機能きのうべつ分割ぶんかつするどう手法しゅほう注目ちゅうもくあつめていることはみなさんもご存知ぞんじでしょう。 マイクロサービスアーキテクチャ特有とくゆう設計せっけい課題かだいはいくつかありますが、今回こんかい認証にんしょう情報じょうほうのような、サービスあいだでグローバルに共有きょうゆうされるセッション情報じょうほう管理かんりのパターンについて調しらべたことをまとめてみたいとおもいます。 背景はいけい HTTP は本質ほんしつてきにステートレスなプロトコルですが、実際じっさいの Web サービスじょうでは複数ふくすうリクエストをまたがって状態じょうたい保持ほじするために、

                                          マイクロサービス時代のセッション管理 - Retty Tech Blog

                                        • マイクロサービスの認証にんしょう認可にんかとJWT / Authentication and Authorization in Microservices and JWT

                                          OCHaCafe Season4 #4の資料しりょうです. デモのソースコードとう

                                            マイクロサービスの認証・認可とJWT / Authentication and Authorization in Microservices and JWT

                                          • APIトークン認証にんしょう論理ろんり設計せっけい

                                            SPAやモバイルアプリから利用りようするAPIを開発かいはつするさいの、トークン認証にんしょうのおはなしです。 どの認証にんしょうライブラリを使つかうべきというはなしではなく、トークン認証にんしょう論理ろんりてき設計せっけいについて考察こうさつします。 わたし自身じしん結論けつろんていないので、いろんな意見いけんけるとうれしいです。 出発しゅっぱつてん ユーザテーブルにアクセストークンをつのがもっと安直あんちょく発想はっそうだとおもいます。 ログイン成功せいこうにアクセストークンを発行はっこうし、該当がいとうユーザレコードにセット。 同時どうじ有効ゆうこう期限きげんもセットします。 認証にんしょうには、アクセストークンが存在そんざい有効ゆうこう期限きげんないであれば、認証にんしょう通過つうかさせ、 そうでなければ認証にんしょう失敗しっぱいとします。 ログアウトには、該当がいとうユーザレコードのアクセストークンをそらにします。 発行はっこう日時にちじち、システムない定義ていぎされた有効ゆうこう期間きかんをもとに、認証にんしょう計算けいさんする方法ほうほうもあるとおもいます。 Laravel Sanctum とうはそういう実装じっそうです(しかもデフォルトでは有効ゆうこう期限きげんなし)。 有効ゆうこうかどう

                                              APIトークン認証の論理設計

                                            • 基本きほんから理解りかいするJWTとJWT認証にんしょう仕組しくみ | 豆蔵まめぞうデベロッパーサイト

                                              これは、豆蔵まめぞうデベロッパーサイトアドベントカレンダー2022だい8にち記事きじです。 JSON Web Token(JWT)の単語たんごにすることがよくあるとおもいますが、それと一緒いっしょ認証にんしょう認可にんかや、RSAの署名しょめい暗号あんごう、そしてOpenIDConnectやOAuth2.0までとむずかしそうな用語ようごとセットで説明せつめいされることもおおいため、JWTってむずかしいなぁとおもわれがちです。しかし、JWT自体じたいはシンプルでかりやすいものです。そこで今回こんかいもとのJWTの説明せつめいからJWS、そしてJWT(JWS)を使つかった認証にんしょう段階だんかいてき説明せつめいしていきます。 おな、この記事きじはJWT全体ぜんたい仕組しくみや使つかかた理解りかい目的もくてきとしているため、以下いか説明せつめいおこないません。 RSAやHMACなど暗号あんごうやアルゴリズムのこまかい説明せつめい JWTを暗号あんごうするJWEとJSONの暗号あんごうかぎ表現ひょうげんのJWKについて OpenIDConnectとOAuth2.0について 記事きじ上記じょうきのような内容ないよう

                                                基本から理解するJWTとJWT認証の仕組み | 豆蔵デベロッパーサイト

                                              • Auth.js | Authentication for the Web

                                                // auth.ts import NextAuth from "next-auth" import GitHub from "next-auth/providers/github" export const { auth, handlers } = NextAuth({ providers: [GitHub] }) // middleware.ts export { auth as middleware } from "@/auth" // app/api/auth/[...nextauth]/route.ts import { handlers } from "@/auth" export const { GET, POST } = handlers // src/auth.ts import { SvelteKitAuth } from "@auth/sveltekit" impor

                                                  Auth.js | Authentication for the Web

                                                • フロントエンド開発かいはつしゃのための便利べんりなオンラインツール11せん - Qiita

                                                  わたし愛用あいようするオンライン開発かいはつツール インターネットじょうには、フロントエンド開発かいはつしゃ生活せいかつらくにしてくれる素晴すばらしいツールが沢山たくさんあります。この記事きじでは、わたし開発かいはつ仕事しごと頻繁ひんぱん使つかっている11のツールについて簡単かんたん説明せつめいします。 1. CanIUse Web APIが特定とくていのブラウザで互換ごかんせいがあるのか、モバイルブラウザで使用しようできるのか、からないことはありませんか?このオンラインツールを使つかえば、ブラウザの互換ごかんせいについてWeb APIを簡単かんたんにテストできます。 Can I use―HTML5、CSS3などの対応たいおうひょう。 「Can I use」は、デスクトップとモバイルにおけるフロントエンドWebテクノロジーを支援しえんする、最新さいしんのブラウザ対応たいおうひょう提供ていきょうします。 caniuse.com Web Share APIのnavigator.share(...)に対応たいおうしているブラウザとバージョンをりたいとします。 結果けっかてくだ

                                                    フロントエンド開発者のための便利なオンラインツール11選 - Qiita

                                                  • SPA+SSR+APIで構成こうせいしたWebアプリケーションのセッション管理かんり - Pepabo Tech Portal

                                                    カラーミーショップ サービス基盤きばんチームのkymmtです。この記事きじでは、サーバサイドレンダリングするシングルページアプリケーションとAPIサーバからなるWebアプリケーションのセッション管理かんり方法ほうほうについて紹介しょうかいします。 アプリケーションの構成こうせい 構成こうせい概要がいよう 今回こんかいれいとしてEC事業じぎょう提供ていきょうするカラーミーリピートをとりあげます。構成こうせいとしては、RailsでつくられたAPIサーバ1と、Vue.jsでつくられたシングルページアプリケーション(SPA)からなります。また、SPAはExpressがうごくフロントエンドサーバでサーバサイドレンダリング(SSR)します。APIサーバはSPAかフロントエンドサーバだけがします。かくロールはサブドメインがことなります。 APIサーバでセッションIDをつCookieを発行はっこうし、Redisをもちいてセッション管理かんりします。また、APIサーバへのセッションが有効ゆうこうなリクエストはフロント

                                                      SPA+SSR+APIで構成したWebアプリケーションのセッション管理 - Pepabo Tech Portal

                                                    • マイクロサービス時代じだいのセッション管理かんり - Retty Tech Blog

                                                      この記事きじはRetty Advent Calendar 2019 21にち記事きじです。エンジニアの かみ@pikatenor がおおくりします。11にち記事きじかれた「弊社へいしゃエンジニアのかみちゅうにんめいであり実名じつめいです)」とはわたしのことです。 qiita.com さてはまさにマイクロサービスだい航海こうかい時代じだいだい規模きぼした組織そしき肥大ひだいしたコードベースのメンテナンスを継続けいぞくてきっていくべく、アプリケーションを機能きのうべつ分割ぶんかつするどう手法しゅほう注目ちゅうもくあつめていることはみなさんもご存知ぞんじでしょう。 マイクロサービスアーキテクチャ特有とくゆう設計せっけい課題かだいはいくつかありますが、今回こんかい認証にんしょう情報じょうほうのような、サービスあいだでグローバルに共有きょうゆうされるセッション情報じょうほう管理かんりのパターンについて調しらべたことをまとめてみたいとおもいます。 背景はいけい HTTP は本質ほんしつてきにステートレスなプロトコルですが、実際じっさいの Web サービスじょうでは複数ふくすうリクエストをまたがって状態じょうたい保持ほじするために、

                                                        マイクロサービス時代のセッション管理 - Retty Tech Blog

                                                      • サーバサイドでJWTの即時そくじ無効むこう機能きのうっていないサービスは脆弱ぜいじゃくなのか? - くろの雑記ざっきちょう

                                                        きっかけ 昨年さくねん(2021ねん9がつごろ)に徳丸とくまるさんのこのツイートをて、「2022ねんにはJWTをもちいたセッション管理かんり代表だいひょうされる、ステートレスなセッション管理かんりなかれられなくなっていくのだろうか?」とおもっていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(わたしやく:JWTトークンはログアウトにサーバーじょう無効むこうすべきです)といてあるけど、どうやって無効むこうするんだ? ブラックリストにれる?https://t.co/bcdldF82Bw— 徳丸とくまる ひろし (@ockeghem) 2021ねん9がつ10日とおか JWT大好だいすきなみなさん、ここはウォッチしないとだめですよ。これがそのままとおったら、ログアウト機能きのうでJWTの即時そくじ無効むこうをしていないサイトは脆弱ぜいじゃくせい診断しんだんで「OWASP Top

                                                          サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳

                                                        • 認証にんしょう】JWTについての説明せつめいしょ

                                                          はじめに この記事きじんでいるあなたはJWTについてっているだろうか?JWTは、認証にんしょうされたユーザを識別しきべつするためにもっと一般いっぱんてき使用しようされる。JWTは認証にんしょうサーバから発行はっこうされて、クライアント・サーバで消費しょうひされる。 今回こんかい記事きじでは、Webアプリケーションの認証にんしょう方法ほうほうとしてもっと利用りようされているJWT認証にんしょう簡潔かんけつ解説かいせつする。 ほん記事きじ読者どくしゃ対象たいしょう JWT認証にんしょうについてらないひと JWTのメリット・デメリット、仕組しくみについてくわしくりたいひと アプリケーションの認証にんしょう方法ほうほうについてくわしくりたいひと JWTとは JSON Web Token(JWT)とは、クライアント・サーバのあいだ情報じょうほう共有きょうゆうするために使つかわれる規格きかくひとつである。JWTには、共有きょうゆう必要ひつよう情報じょうほうつJSONオブジェクトがふくまれている。さらに、かくJWTはJSONのcontentsがクライアントあるいは悪意あくいのあるパーティによってかいざんされないように、暗号あんごう(ハッシュ

                                                            【認証】JWTについての説明書

                                                          • マイクロサービスあいだ通信つうしんにおける認証にんしょう認可にんかおよびアクセス制御せいぎょ

                                                            はじめに 2023ねん4がつ基盤きばんエンジニアとして Ubie に入社にゅうしゃしました nerocrux です。おもに Ubie の ID 基盤きばん開発かいはつ保守ほしゅ運用うんよう担当たんとうしています。 この記事きじは、2023 Ubie Engineers アドベントカレンダー 5 にち記事きじとなります。 Ubie では、モジュラモノリスを採用さいようしつつ、マイクロサービスアーキテクチャも採用さいようしており、領域りょういきによってサービスをけて、それぞれの担当たんとうチームが開発かいはつ保守ほしゅ運用うんようをしています。 クライアントからひとつのリクエストをったあとに、Ubie のバックエンドではリクエストをったサービスだけがそのリクエストを処理しょりすることもあれば、べつのサービスにディスパッチし、複数ふくすうのサービスがひとつのリクエストを処理しょりして結果けっかかえすこともあります。 マイクロサービスあいだ通信つうしんが Ubie の内部ないぶ発生はっせいしたとしても、かならずしも制限せいげん自由じゆうおこなわれていいわけで

                                                              マイクロサービス間通信における認証認可およびアクセス制御

                                                            • [2023-01-31 12:00 JST 更新こうしん] JWTのシークレットポイズニングにかんする問題もんだい

                                                              2019ねん1がつ30にち PST ほん脆弱ぜいじゃくせい悪用あくようシナリオの前提ぜんてい条件じょうけんかんするコミュニティからのフィードバックをけ、わたしたちはAuth0と協力きょうりょくしてCVE-2022-23529を撤回てっかいすることを決定けっていしました。 本稿ほんこう解説かいせつしたセキュリティの問題もんだいはJsonWebTokenライブラリが安全あんぜんでない方法ほうほう使用しようされた場合ばあいには依然いぜんとして懸念けねんされるものです。そのシナリオでは、すべての前提ぜんてい条件じょうけんたせばこの問題もんだい悪用あくようできる可能かのうせいがあります。わたしたちは、その場合ばあいのリスクの大元おおもとはライブラリがわでなくがわのコードにあることに同意どういします。 この問題もんだい対処たいしょするためJsonWebTokenのコードには重要じゅうようなセキュリティチェックが追加ついかされました。 jsonwebtoken 8.5.1以前いぜんのバージョンをお使つかいの場合ばあい最新さいしんばんの9.0.0にアップデートすることをおすすめします。最新さいしんばんではどうセキュリティ問題もんだいふく問題もんだい修正しゅうせいみで、より安全あんぜん

                                                                [2023-01-31 12:00 JST 更新] JWTのシークレットポイズニングに関する問題

                                                              • 2020年版ねんばん チームない勉強べんきょうかい資料しりょうその1 : JSON Web Token - r-weblife

                                                                おはようございます。ritou です。 5月下旬げじゅんぐらいにチームない勉強べんきょうかいとしてJSON Web Token(JWT)についてわいわいやりました。 そのさい作成さくせいした資料しりょう簡単かんたん説明せつめいえつつ紹介しょうかいします。 このブログではJWTについて色々いろいろ記事きじいてきましたが、その範囲はんいえるものではありません。 ちょっとだけながいですが、ちょっとだけです。おいください。それでははじめましょう。 JSON Web Token boot camp 2020 今回こんかい勉強べんきょうかいでは、JWTについて概要がいよう仕様しよう紹介しょうかいという基本きほんてきなところから、業務ぎょうむ使つかっていくにあたってをつけるべきてんといったあたりまでカバーできるといなとおもっています。 JSON Web Token 概要がいよう まずは概要がいようから紹介しょうかいしていきます。 JSON Web Tokenの定義ていぎとはということで、RFC7519のAbstractの文章ぶんしょう引用いんようします。 JSON W

                                                                  2020年版 チーム内勉強会資料その1 : JSON Web Token - r-weblife

                                                                • VercelとHerokuできながらはじめる個人こじん開発かいはつ - SMARTCAMP Engineer Blog

                                                                  こんにちは、BOXILの開発かいはつをしている徳田とくた(@haze_it_ac) です。 今回こんかい業務ぎょうむすこはなれたはなしをしてみます。 はじめに みなさんは仕事しごと以外いがいでもWebアプリケーションをつくっていますか? つくりまくっているひとも、仕事しごと以外いがいではコードをかないひとるかとおもいます。 わたしになったライブラリをつけたり、こういう実装じっそうってできないかな?とおもったさいに、簡単かんたんなWebアプリケーションをつくってためしています。 この記事きじではそのなかで、ゴールデンウィークちゅうに "簡単かんたんつくれて、運用うんようらくな SPA/SSR + API Server 構成こうせいちいさなWebサービス" をかんがえてためしたさい構成こうせいと、作成さくせい手順てじゅん紹介しょうかいします。 サンプル 画面がめん https://blog-sample-fe.now.sh/ ざつもうわけないのですが、サンプルとして 会員かいいん登録とうろく ログイン 会員かいいんページ ログアウト 機能きのう実装じっそうしたものです。 構成こうせい ぜん

                                                                    VercelとHerokuで手を抜きながらはじめる個人開発 - SMARTCAMP Engineer Blog

                                                                  • 『いまどきの OAuth / OpenID Connect (OIDC) 一挙いっきょおさらい』の予習よしゅう復習ふくしゅうよう情報じょうほう - Qiita

                                                                    はじめに Authlete(オースリート)しゃ主催しゅさい勉強べんきょうかい『いまどきの OAuth / OpenID Connect (OIDC) 一挙いっきょおさらい』(2020 ねん 1 がつ 31 にちすみ), 2020 ねん 2 がつ 21 にち中止ちゅうし))の内容ないようがてんこぎるため、予習よしゅう復習ふくしゅうよう情報じょうほうそうとおもいます。 追記ついき 2020 ねん 1 がつ 31 にち勉強べんきょうかい資料しりょう動画どうが字幕じまくき)を公開こうかいしました! OAuth / OIDC 勉強べんきょうかい参加さんかしゃは、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本きほんっていることが前提ぜんていとなります。 OAuth 2.0 は「アクセストークンを発行はっこうする仕組しくみ」です。その中心ちゅうしんとなる仕様しようは RFC 6749 です。詳細しょうさいについては『一番いちばんかりやすい OAuth の説明せつめい』と『OAuth 2.0 ぜんフローの図解ずかい動画どうが』をご参照さんしょうください。 Op

                                                                      『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita

                                                                    • next.js + vercel + firebase authentication で JWT の検証けんしょうおこなう + Graphql

                                                                      こん個人こじんつくってるアプリの 認証にんしょう + Graphql の部分ぶぶんして GitHub に公開こうかいした。 mizchi/next-boilerplate-20200727 next.js + vercel + firebase は (パーツをえらべば) 最高さいこう next.js はルーティングをつページをつくるには最高さいこうで、サーバー、静的せいてきサイト、JAM スタック、AMP と必要ひつようおうじて選択せんたくできる。React ベースならこれ一択いったく認証にんしょうサーバーの実装じっそう毎度まいどつかれるし、Firebase Athunetication はこのてんにおいては OAuth Secret をくだけ + Custom Provider もつくれるので、最高さいこう。 それとくらべて firestore は、ちょっとまえに firestore べったりでアプリを試作しさくしたことがあったのだが、かたがないためにかなりあつかいづらく、またきの速度そくどおそくパフ

                                                                        next.js + vercel + firebase authentication で JWT の検証を行う + Graphql

                                                                      • SPAセキュリティ入門にゅうもん~PHP Conference Japan 2021 | ドクセル

                                                                        スライド概要がいよう シングルページアプリケーション(SPA)において、セッションIDやトークンの格納かくのう場所ばしょはCookieあるいはlocalStorageのいずれがいのかなど、セキュリティじょう課題かだいがネットじょう議論ぎろんされていますが、残念ざんねんながら間違まちがった前提ぜんていもとづくものがおおいようです。このトークでは、SPAのセキュリティを構成こうせいする基礎きそ技術ぎじゅつ説明せつめいしたのち著名ちょめいなフレームワークな状況じょうきょうとエンジニアの技術ぎじゅつ理解りかい現状げんじょうまえ、SPAセキュリティの現実げんじつてき方法ほうほうについて説明せつめいします。 動画どうがはこちら https://www.youtube.com/watch?v=pc57hw6haXk

                                                                          SPAセキュリティ入門~PHP Conference Japan 2021 | ドクセル

                                                                        • 【Goへん】Next.js × Go × AWSでJWT認証にんしょうきGraphQLアプリとCI/CDを構築こうちくしてみよう - Qiita

                                                                          ■ご案内あんないほん連載れんさい背景はいけい/作成さくせいできるアプリケーション/すすかたをご理解りかいいただうえでも【環境かんきょう構築こうちくへん】 をご一読いちどくいただけるとさいわいです。 【環境かんきょう構築こうちくへん】 【Next.jsへん】 【Goへん】  👈いまここです 【AWSへん】 これからも頑張がんばってハンズオンけい記事きじいていきたいとおもっているので、いいねっとおもっていただけたらLGTMしていただけるとはげみになります! 環境かんきょう構築こうちく ほんサンプルアプリの環境かんきょう構築こうちく方法ほうほうは【環境かんきょう構築こうちくへん】に記載きさいしているので、そちらをご参照さんしょうください。 クリーンアーキテクチャふうなディレクトリ設計せっけい 以下いか記事きじ参考さんこうにしつつクリーンアーキテクチャふうなディレクトリ設計せっけいをしてみました。 かく階層かいそうあいだをインターフェースを利用りようして、システムのかく部分ぶぶんうと結合けつごうしております。 # 簡単かんたんのため一部いちぶファイルは割愛かつあいしています go-graphql-jwt-api/ ├── build/ │ ├── db/ │ └── dock

                                                                            【Go編】Next.js × Go × AWSでJWT認証付きGraphQLアプリとCI/CDを構築してみよう - Qiita

                                                                          • OAuth 2.0 / OIDC を理解りかいするじょう重要じゅうような3つの技術ぎじゅつ仕様しよう

                                                                            2020ねん3がつ17にち株式会社かぶしきがいしゃAuthleteが主催しゅさいする「OAuth & OIDC 勉強べんきょうかい リターンズ【入門にゅうもんへん】」が開催かいさい同社どうしゃ共同きょうどう創業そうぎょうしゃであり、プログラマーけん代表だいひょう取締役とりしまりやくでもある川崎かわさき貴彦たかひこが、OAuth 2.0 / OIDCの仕様しようについて解説かいせつしました。 冒頭ぼうとうは、OAuth 2.0の概念がいねん認可にんか認証にんしょうまでのながれと、それを理解りかいするじょうけてはとおれない3つの技術ぎじゅつ仕様しよう(JWS・JWE・JWT)についての解説かいせつです。 OAuth 2.0とは 川崎かわさき貴彦たかひこ株式会社かぶしきがいしゃAuthleteの川崎かわさきです。本日ほんじつは「OAuthとOpenID Connectの入門にゅうもんへん」ということでオンライン勉強べんきょうかい開催かいさいしますので、よろしくおねがいします。最初さいしょにOAuth 2.0の概要がいよう説明せつめいからです。 ブログにいてある内容ないよう一緒いっしょなんですが、まずユーザーのデータがあります。このユーザーのデータを管理かんりするのが、リソースサーバーです。このユーザーのデ

                                                                              OAuth 2.0 / OIDC を理解する上で重要な3つの技術仕様

                                                                            • JWT+RDBをもちいたOAuth 2.0 ハイブリッドがたトークンの実装じっそうれい - r-weblife

                                                                              おはようございます、ritouです。 (⚠️認可にんかイベントの識別子しきべつしのあたり、ちょっと見直みなおしました!最初さいしょていただいたほうはもういちかいどうぞ!) 前回ぜんかい、ハイブリッドがたばれる OAuth 2.0 のトークン実装じっそうについてきました。 ritou.hatenablog.com そのつづきとして JWT(JWS) + RDBでできる実装じっそうれい紹介しょうかいします。 理解りかいするにはそれなりの OAuth 2.0 にかんする知識ちしき必要ひつようになるかもしれませんが、よかったら参考さんこうにしてみてください。 なにかんがえたのか OAuth 2.0のRefresh Token, Access Tokenをかんがえます。 要件ようけんから整理せいりしましょう。 要件ようけん 結構けっこうありますが、最低限さいていげんの OAuth 2.0 の Authorization Server を実装じっそうしようとおもったらこれぐらいはやらないといけないでしょう。 RFC6750 で定義ていぎされている Bear

                                                                                JWT+RDBを用いたOAuth 2.0 ハイブリッド型トークンの実装例 - r-weblife

                                                                              • おーい磯野いそのー,Local StorageにJWT保存ほぞんしようぜ!

                                                                                ある,HTML5のLocal Storageを使つかってはいけない がバズっていた. この記事きじでテーマになっていることのひとつに「Local StorageにJWTを保存ほぞんしてはいけない」というものがある. しかし,いろいろかんがえた結果けっか「そうでもないんじゃないか」という仮定かていいたったのでここにのこしておく. さき記事きじでは,「Local StorageにJWTを保存ほぞんしてはいけない」の根拠こんきょとして「XSSが発生はっせいしたとき攻撃こうげきしゃがLocal Storageに保存ほぞんしたJWTをぬすむことが出来できてしまう」といったセキュリティじょう懸念けねん事項じこうげられていた. これにたいし,クッキーをもちいたセッションベースの認証にんしょうでは,セッションIDをクッキーに保存ほぞんする.クッキーにHttpOnlyフラグをつけておけば,JavaScriptからはアクセスできず,XSSが発生はっせいしても攻撃こうげきしゃはセッションIDをることが出来できない. 一見いっけんすると,これは

                                                                                  おーい磯野ー,Local StorageにJWT保存しようぜ!

                                                                                • SaaS におけるテナントリソースへのリクエストルーティングを JWT をもちいて実現じつげんする | Amazon Web Services

                                                                                  Amazon Web Services ブログ SaaS におけるテナントリソースへのリクエストルーティングを JWT をもちいて実現じつげんする みなさんこんにちは。ソリューションアーキテクトの福本ふくもとです。 ほん投稿とうこうのテーマは Software as a Service(SaaS)におけるルーティングです。 SaaS ではテナントごとにサーバーなどのリソースが分離ぶんりされていることがあります。そのため、かくテナントにぞくするユーザーからのリクエストを適切てきせつなリソースへとルーティングする必要ひつようがあります。 具体ぐたいてきなルーティングのはなしはいまえに、SaaS のテナント分離ぶんりモデルについて説明せつめいをします。SaaS では、テナントの分離ぶんりモデルとしてサイロ、プール、ブリッジモデルが存在そんざいします。また、ユーザーがサブスクライブしている利用りようプラン (ティア) によって、リソースの分離ぶんり形態けいたいわるような、階層かいそうベースの分離ぶんりもあります。 サイ

                                                                                    SaaS におけるテナントリソースへのリクエストルーティングを JWT を用いて実現する | Amazon Web Services
                                                                                  1 2 3 4 つぎのページ

                                                                                  新着しんちゃく記事きじ

                                                                                  はてなブックマーク

                                                                                  公式こうしきTwitter

                                                                                  はてなのサービス

                                                                                  • App Storeからダウンロード
                                                                                  • Google Playで手に入れよう
                                                                                  Copyright © 2005-2024 Hatena. All Rights Reserved.