RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記（2020-03-20） この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました！ 1. 認可コードフロー RF

(Speaker Deckはハイパーリンクが消えてしまうので、PDF版はこちら: https://drive.google.com/file/d/16C2-5ZU-uovNzYnT__3_ufHtylPj49R6/view?usp=sharing ) SaaS.tech #3 登壇資料 https://saas-tech.connpass.com/event/247653/ Amazon Cognitoを用いてOAuth 2.0のAuthorization Code Grantを用いた認証フローを実装し、Open ID Connectに対応した連携ID Providerを追加することで複数の認証手段を提供する方法について紹介。またCognitoを用いたm2m (machine to machine)認証についても紹介します。

こんにちは。 ご機嫌いかがでしょうか。 "No human labor is no human error" が大好きなネクストモード株式会社の吉井 亮です。 日本国内においても多くのシステムがクラウド上で稼働していることと思います。 俊敏性、拡張性、従量課金、IaS、セキュリティなどクラウドのメリットを享受しやすい所謂 SoE で多くの実績があるように感じます。 ここ1~2年は、社内基幹システム・情報システム、SoR 系のシステムのクラウド移行が本格化してきたというのが肌感覚であります。 クラウドでのシステムインフラ構築は従来のようにゼロから非機能要件定義を行っていくものではなく、ベストプラクティスをまず実装して少しずつ微調整を行っていくものと考えています。とはいえ、システムごとの要件は予め明らかにしておくことがインフラ構築においても重要になります。 クラウド上では出来ること出来ないこと

この記事は アノテーション株式会社 AWS Technical Support Advent Calendar 2022 | Advent Calendar 2022 - Qiita 8日目の記事です。 はじめに アノテーション テクニカルサポートチームの Shimizu です。 CloudFront + S3 で構成した静的 Web サイトはサーバーレスで管理が楽なため、ご検討される方も多いでしょう。 一方で従来のWebサーバーの運用に慣れている方は少し戸惑うかもしれません。例えば慣れ親しんだ .htaccess ファイルが無いため「S3 でこの設定ってどうやるの？」という疑問にぶつかることもあると思います。 そこで本記事では、実際によくいただくお問い合わせを元に、CloudFront + S3 の Webサイト構築時に役立つ情報をまとめてみました！ S3 バケットへの直接アクセスを禁止

本サイトで、AWS CloudFront を使い始めました。 設定の際、単にS3をオリジンとした CloudFront を用意すればいいだけかと思いきや、キャッシュとCORS周りで思うようにいかなかった箇所があったのでメモっておきます。

はじめに CloudFront の Management Console で Behavior を設定していると、こんな見慣れない機能が表示されるようになっていた。 これは何ぞや、と思って調べてみたら 2020/07 のアップデート内容のようだ。 Amazon CloudFront キャッシュポリシーとオリジンリクエストポリシーを発表 かなり新しい機能で、まだ資料が少なかったので自分の理解のために従来と比較して何がうれしいのかをまとめてみた。 TL; DR この機能の実装前はオリジンへのForwardとキャッシュキーの項目が自動的に一致していた Policyの実装によって、キャッシュキーとオリジンへの項目転送を分離してより柔軟で直感的なキャッシュルールを定義できるようになった 1度書いた設定を複数の Behavior で再利用できるようになった 1. CDN / CloudFront の仕

CloudFront はクエリ文字列毎のキャッシュが可能ですが、パラメータの順序、大文字小文字の違いによって、別のキャッシュと判断されます。Lambda@Edge でクエリ文字列を標準化し、キャッシュヒット率を向上させる方法をご紹介します。 みなさん、Lambda@Edge 使ってますか！？「いまいち使い所がわからない・・・」という方も少なくないのではないでしょうか？今回はユースケースの一例として、クエリ文字列を標準化することでキャッシュヒット率を向上させる方法についてご紹介したいと思います。 クエリ文字列のキャッシュについて理解する CloudFront では Query String Forwarding and Caching の設定により、クエリ文字列パラメータに基づいて個別にキャッシュすることが可能ですが、ここで注意したいポイントは、パラメータの順番や、大文字小文字のレベルで別の

CDNはWEBサイトにある画像などのコンテンツをキャッシュし、キャッシュしたコンテンツをユーザーに配信します。このCDNから配信した比率のことをHIT率というのですが、CDNを利用するからにはなるべく高いHIT率をたたき出したいと皆さん感じているはずです。 今回は、CDNでHIT率を向上させるための方法としていくつか代表的なチューニングをご紹介致します。 キャッシュキーについて CDNサービスはブラウザーからアクセスがあると、そのアクセスした様々な情報をみてコンテンツがユニークかどうか判別しキャッシュを分ける作業をします。 その際、判別する情報のことを弊社では「キャッシュキー」と呼んでいます。 キャッシュキーとして一番始めに思い浮かぶのはおそらくURLだとおもいます。URLが異なれば基本違うコンテンツという理論に基づいてCDNがまず初めにみる値です。 ※CDNは１０年前からある技術で、当初

2023年に誰よりも早くに本気のBlogを作ったよ どーも,Notionは3年前くらいから大好きなのですが,最近使ってきている人があまりに増えていてちょっと好きじゃなくなっています.（本当はすごく嬉しい）というわけで,普通の人にはできないNotion APIを使って,NotionのDatabaseにPageを保存してStatus PropertyをPUBLISHにした記事を自動で公開してくれるNotion Blog（3度目）を作りました. 我ながらかなり完成度が高いので,この満足感をおすそ分けします. Web開発全般の話をするので,Notionに関する話は多分4割くらいになるかなと. 作ったもの まずは成果物をゆっくりご覧ください. 一度見ておくとこの記事が楽しく読めると思います. 仕組み Notion Blogの仕組みは先に話したとおり,Notionが公式のAPIを無料で提供しているので

概要 Webフロントのパフォーマンス診断 - Carpe Diem で指摘されたブラウザキャッシュの対応をするため調べてみました。 大きく分けて強いキャッシュと弱いキャッシュの２種類のキャッシュがあります。 強いキャッシュ ブラウザ側でリソースを保持し、期限が切れるまでサーバにHTTPリクエストを発行しません。 なので一度ブラウザにキャッシュされるとサーバ側からハンドリングすることができなくなります。 これを設定する方法は Cache-Controlヘッダー Expiresヘッダー の２つがあります。 Cache-Control: max-age サーバからのレスポンスで以下のようにCache-Controlヘッダーを付けます。 Cache-Control: max-age=3600 このヘッダーが付いたリソースはブラウザ上では強いキャッシュとして残ります。 max-ageは秒数なので、こ

こんにちは、SCSKの木澤です。 私は2013年からAWSを触り始めたのですが、初期に関わったプロジェクトに大規模なWebサイトの構築案件があり、配信手段としてAmazon CloudFrontを用いておりました。そのため今でもCloudFrontは思い入れがあるサービスです。 そこで今回はCDNおよびCloudFrontの概要と、Webサイトにおけるキャッシュ制御の考え方、CloudFrontの設定方法まで一通りの解説をしたいと思います。 Amazon CloudFrontについて CDN(Content Delivery Network)について 現在のWebサイトでは、昔とは異なり１ページの表示にあたり多数のHTTP(S)アクセスを必要とします。 例えば本サイトのトップページでは約50回のHTTP(S)によるファイル等の取得を行っていることがわかります。 そのため各HTTP(S)アク

BuildCopybundle install rakec86.pdf will be generated! wishlistはこちら NextまえがきLast updated 5 years ago

セキュリティエンジニアになり、そこから2年間分の勉強内容と参考になった資料とか 自分の振り返りも兼ねて2年分の勉強内容とかをざっくりまとめようと思います。 新卒からバックエンド開発を2年程行い、その後セキュリティエンジニアとして横断セキュリティ部門に異動しました。 そこから更に2年が経ち、来月からセキュリティサービスの開発とかをすることになったので、 もし同じような人が居た際になんとなし参考になればいいかなという意図で書いてます。 ちなみにセキュリティ部門に異動するまでのセキュリティの知識レベルは「徳丸本を2回通しで読んでる」程度です。 セキュリティ部門に移ってからは脆弱性診断・ログ監視・開発ガイドライン周り・脆弱性管理とかをやってました。 本記事では自分自身がユーザ系の企業に属しているので、ベンダーとかそちら寄りの内容ではないです。 あとできる限り社内の事情を記載しません。何が問題になる

Provisioned Concurrencyのおさらい 「LambdaのProvisioned Concurrencyと１年付き合ってみて思ったこと。」を前回書いたので、そこにProvisioned Concurrencyとは何で、なんのために誕生したかが書かれています。また、どんなとことで使えるかというユースケースもまとめておきました。 簡単に言うと、LambdaのColdStartの課題を解決するために生まれました。つまり、Lambdaのインスタンスを事前暖機しておく機能と言えます。 この絵のように、Provisioned Concurrencyを利用して事前暖機しておくと、最初の呼び出し時点ですでに暖まった状態でリクエストを受け付けれるため、WarmStartします。 Lambdaの実行モデルについて AWS Lambdaの実行モデルについて考えてみるに詳しい説明を書きました。こち

こんにちは、菊池です。 熱いアップデートがきました。EC2で利用するブロックストレージ、Amazon EBS でリストア直後からフルパフォーマンスを発揮できる Fast Snapshot Restore（FSR）が登場しました！ Amazon EBS Fast Snapshot Restore (FSR) eliminates the need for pre-warming data into volumes created from snapshots これにより、スナップショットから作成したEBSでもプレウォーミングなしで本来の性能が発揮できるようになります。 そもそもプレウォーミング（初期化）って？ スナップショットから作成したEBSは、初回のアクセス時にS3からプルダウンされることになります。そのため、作成直後はアクセス時のレイテンシが通常よりも大きく、本来EBSに割り当てられた

こんにちは、菊池です。 EBSスナップショットをリストア直後からフルパフォーマンスで利用するためのオプション、Fast Snapshot Restore（FSR）がリリースされました。 [新機能] リストア直後からフルパフォーマンス！EBS で Fast Snapshot Restore（FSR）が可能になりました プレウォーミングなしでプロビジョニングした性能を発揮できる待望の機能ですが、追加コストがかかる点に注意が必要です。コストを抑えるため、「直近の1世代、1つのAZのみFSRを有効にして、それより古いものは無効にする」ということがやりたくなります。このような要件を自前で管理していくのは非常に手間がかかりますが、スナップショットを自動化するサービス、Data Lifecycle Manager（DLM）で簡単に設定できましたので紹介します。 DLM で FSR を管理する DLMのコ

AWS Config に関する基本的な内容と AWS CloudFormation Guard を用いた Config カスタムルールに関する勉強会資料です。 AWS Config 勉強会資料 AWS Config の勉強会をする機会がありましたので資料を公開します。 前半は AWS Config の基本的な内容、後半は AWS CloudFormation Guard を用いた Config カスタムルールの説明となります。 勉強会資料は次の構成です。 AWS Cofnig の基本的な内容 AWS CloudTrail と AWS Config の違い AWS Config ルール AWS Config のマルチアカウント管理 AWS CloudFormation Guard を⽤いたカスタムルール 「AWS CloudFormation Guard を⽤いたカスタムルール」を説明するこ

しかし、最初からTransit Gatwayを使用されている方はそこまで多くないのではないのでしょうか。 恐らく、多くの方が以下のようにPrivate VIFを用意して、Direct Connect Gatewayを使ってオンプレミス環境とVPCを接続しているのではないでしょうか。 そこで、今回は「Direct Connect GatewayとTransit Gatewayの併用構成になるべくダウンタイム少なく移行したいなぁ」という方向けに、Direct Connect GatewayとVPCの直結構成から、Direct Connect GatewayとTransit Gatewayの併用構成への移行手順をまとめます。 いきなりまとめ Direct Connect GatewayとTransit Gatewayの併用構成にするためには、Transit VIFが必須 Transit VIFを

はじめに 「解説記事を幾つも読んだけど OpenID Connect を理解できた気がしない」― この文書は、そういう悩みを抱えたエンジニアの方々に向けた OpenID Connect 解説文書です。概念的・抽象的な話を避け、具体例を用いて OpenID Connect を解説していこうと思います。 この文書では、JWS (RFC 7515)、JWE (RFC 7516)、JWK (RFC 7517)、JWT (RFC 7519)、ID トークンの説明をおこないます。 追記（2020-03-20） この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました！ 1. 『ID トークン』を発行するための仕様 一般の方々に対しては「OpenID Connect は認証の仕様である」という説明で良いと思います。一方、技術的な理解を渇望しているエンジニアの方々に対

Register as a new user and use Qiita more conveniently You get articles that match your needsYou can efficiently read back useful informationYou can use dark themeWhat you can do with signing up