ぼくのかんがえたさいきょうのAPI管理(JWT) - Qiita
環境 サーバからAPIを叩いてjsonを取ってくるWEBシステム フロントはJavaScript,jQuery,Riotで組まれている。 認証サーバとAPIサーバが同一(マシンもIPもシステムも) 問題点 JWTにjsonはbase64でエンコードされたものであり、暗号化はされていない。 実装によるがLocalStorageに値を入れる事が多いが、LocalStorageはJSから自由に読み込む事が可能なためXSSにより任意のJSが実行された場合は容易にAccess Tokenを盗む事ができる。 ※改ざんされないだけであり、盗まれるたものを利用される恐れはある。 (セッションハイジャック) 解決案 XSS,CSRF対策がしてあるのは大前提 Access TokenをCookieに格納して"HTTP Only"と"Secure"フラグを付ける。 Access Tokenやセッショントークンは
SAML認証ができるまで - Cybozu Inside Out | サイボウズエンジニアのブログ
こんにちは、Slashチームの渡辺です。 Slashチームでは、ユーザー管理や認証周りなどの、cybozu.comの各サービスに共通する機能を開発しています。今回は、3月にリリースされた、SAML認証を用いたシングルサインオン機能1についてお話させて頂きます。cybozu.comでのSAML認証の概要にくわえて、それらの機能をどのように設計・実装していったか、という誰も興味ないニッチな話題を扱います。 SAML2 って? 「SAMLなんて聞いたこと無いけどなんとなく興味があるぞ!!」という物好きな方のために、SAMLの概要とcybozu.comでの利用について、簡単に説明します。そんなものは既に知っているというSAML猛者な方は読み飛ばして頂いて構いません。 SAMLはSecurity Assertion Markup Languageの略で、OASIS3によって策定された、異なるセキュリ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
クラウド型Web脆弱性診断ツール「VAddy」
