認可のアーキテクチャに関する考察(Authorization Academy IIを読んで)
みなさま、認可の設計に苦しんでいるでしょうか?私は苦しんでいます。苦しまなかった瞬間などありません。昔「アプリケーションにおける権限設計の課題」を執筆しましたが、あれから3年以上が経ちます。 当時は認可の設計に関する情報がうまくまとまっている記事などほとんど無く、調べに調べて得たナレッジを書き記したのが上記の記事です。3年以上経ちますが、苦悩が今も特に変わっていないことが驚きです。 ただし、世の中的には認可のライブラリであったりサービスというのは少しずつ増えてきている印象があります(Auth0の OpenFGA であったりOsoの Oso Cloud 、Asertoの Topaz )。 認可の設計に関する記事も少しずつ増えている印象があり、その中でも本記事で紹介したいのがAuthorization Academyです。 これは認可サービスである Oso Cloud やOSSのライブラリ o
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]
WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR] WebサービスやSaaS(Software as a Service)の開発において、認証や認可における脆弱性が発覚した場合、その深刻度は大きいことが多く対策は必須です。 言うまでもなく、どんなに素晴らしい機能が提供されていたとしても、脆弱性を突かれて情報漏洩やデータ破壊などを起こしてしまえば、ソフトウェアで提供される価値が地に落ちてしまうからです。 認証と認可の脆弱性は全体の3割以上にも セキュリティスタートアップとして多くのSaaS開発企業などにセキュリティ診断(脆弱性診断)を提供しているFlatt Security社は、同社が2022年の1月から1年強の間にBtoB SaaSを対象として検出した脆弱性を集計すると、ソフトウェアのロジックや仕様に起因するものが非常
![WebサービスやSaaS開発で気をつけるべき認証認可におけるロジックの脆弱性。どのようなもので、どう対策すべきか?[PR]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a17c829e4653c973c5ecf17b68fb4192034d2926/height=288;version=1;width=512/https%3A%2F%2Fwww.publickey1.jp%2F2023%2Fflattsecuritypr0105b.png)
oauth2とは何か?認証と認可の違い。
あぁ、しくじった。毎日書こうとしたら休みの日である事を完全に忘れてゲームばかりした結果 0時を回って書いてしまっている。 しかも今回の内容が多分長くなりそうだから既に明日やる口実を作って明日作成しようとしている。 あぁ、憂鬱だ。 そんな始まり方のoauth 最近でこそoauth認証って普及されてますけど、 最初見た時、???ってなりませんでしたか? 僕は謎過ぎて良くわからなかったから、こんなのやらないと思ってました。 が、、、今になってみるとあまりにも便利が故に もはや、Googleサインインとかappleサインインが無いと嫌ですもんね。 おいおいおい、入れておけや。と。。。 それだけ楽にしてくれた認証機能ですが、 実は、認証機能以外にも認可という部分もあるので 今日はその辺を自分の備忘録的に書いていこうと思っています。 参考にしたもの まず先に参考にした動画を貼ります。 ざっくりと簡単に
サーバサイドでJWTの即時無効化機能を持っていないサービスは脆弱なのか? - くろの雑記帳
きっかけ 昨年(2021年9月ごろ)に徳丸さんのこのツイートを見て、「2022年にはJWTを用いたセッション管理に代表される、ステートレスなセッション管理は世の中に受け入れられなくなっていくのだろうか?」と思っていました。 OWASP Top 10 2021 A1に「JWT tokens should be invalidated on the server after logout.」(私訳:JWTトークンはログアウト後にサーバー上で無効化すべきです)と書いてあるけど、どうやって無効化するんだ? ブラックリストに入れる?https://t.co/bcdldF82Bw— 徳丸 浩 (@ockeghem) 2021年9月10日 JWT大好きな皆さん、ここはウォッチしないとだめですよ。これがそのまま通ったら、ログアウト機能でJWTの即時無効化をしていないサイトは脆弱性診断で「OWASP Top
Laravel 権限管理を実装してみた話
とあるプロジェクトで、ユーザーの権限を画面で管理したい、との要望がありました。 要は何か権限の一覧があって、横にチェックボックスにチェックを入れるか外すかによって権限を管理すると。 画面だけなら簡単ですが、それを実際にルートの保護、表示内容の保護に使うのであれば、もっと深入りする必要があります。 事前準備 ユーザー、役割と権限の関係について 全て話のベースとなるため、先に明示した方が良いかと思います。実際のプロジェクトによって違うと思いますが、今回は以下の関係で実装しました。 まず、ユーザーとロール・役割はone-to-manyの関係となっています。つまり、一つの役割には複数のユーザーを持つ、一人のユーザーは一つの役割しか担わない、との構造です。これは、今回のプロジェクトにおける役割・ロール自身の排他性によってone-to-manyの関係性が決められています。例えば、ユーザーAの役割が管理
Laravel の "認可" まとめ(Gate, Policy 等) - Qiita
はじめに この記事は Laravel Advent Calendar 2019 - Qiita の 4日目 の記事です🎉 「この認可処理はどこに書くべきか」みたいなディスカッションから Laravel の認可機能を深掘りする機会があったので、 改めて整理してみたいと思います💪 認証については、よろしければこちらも! Laravel の Guard(認証) って実際何をやっているのじゃ? そもそも "認可" とはなんなのか 著者に対してだけブログ記事の更新を許可する みたいなやつが "認可" です。 "認可" を真面目に考察したら、それだけで一記事書けてしまう、深い深いテーマです "認可" についてのざっくりとした理解 いったんここでは、以下の理解で記事を進めようと思います。 (異論あればコメントにお願いします!) 特定の条件に対して、リソースに対するアクションの権限を与える (e.g.
【Laravel】認可 Policyの使い方
Laravelの認可はシンプルで、主にGate(ゲート)とPolicy(ポリシー)という2つの認可アクションの方法があります。 Policyとは、特定のモデルに対してのアクション(作成、閲覧、更新、削除など)に関してアクセス制限を行います。 この記事ではPolicyについてまとめていますが、GateとPolicy用途に合う認可(両方でも可)を利用しながらアクセス制限を行うのが良いとされています。 Policyの作成 Policyの生成 Policyは特定のモデルに対してのアクションにアクセス制限が行えます。今回は、UserモデルとPostモデルをもつ、ブログアプリケーションを例に進めていきたいと思います。 はじめに、ブログ記事の作成や更新などのユーザーアクションを認可する「PostPlicy」を生成します。make:policy Artisanコマンドを実行すると、app/Policies
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
