サイバーセキュリティクラウド、Web APIを保護するソフト「sasanka」をOSSで公開
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(前編)
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は前編です。 疎結合なのに一体感、ヨドバシAPIがつなぐ社会 株式会社ヨドバシカメラ 代表取締役社長 藤沢和則氏。 ヨドバシカメラの藤沢と申します。本日はまずこの貴重な機会をいただきありがとう
ヨドバシの中の人が語る、開発中のヨドバシAPIが目指す機能、仕組み、そしてセキュリティ(後編)
ヨドバシカメラは現在、お客様との接点をドメインとして設計する新たなAPIを開発中であることを、クリエーションラインが主催し10月27日に開催されたイベント「Actionable Insights Day 2023」で明らかにしました。 REST APIとして実装される予定のこのAPIについて同社は「ヨドバシスタッフの魂を注入する」としており、厳重なセキュリティやユーザーフレンドリーで高い利便性などが追求されています。 ヨドバシAPIがどのように設計され、開発、実装されていくのか。その中味が紹介されたセッションの内容を見ていきましょう。 本記事は前編と後編の2本の記事で構成されています。いまお読みの記事は後編です。 認証強度のレベルダウンを最小限にするための方法 ただ、我々はお客様の情報を大切に守ろうとしておりますので、レベルダウンを最小限にしようとあがいておりまして、そこで採用しましたのが
App Service Authentication と Entra ID で保護された Web API にアクセス可能な Access Token を取得する - しばやん雑記
App Service Authentication (Easy Auth) は非常に便利な機能なのですが、Web API をホストしている場合には他のアプリケーションから Service Principal を利用してアクセスしたいことがあります。 直近では自分が開発している Key Vault Acmebot というアプリで Web API を公開していますが、Easy Auth を有効化したまま Web API を呼び出したいという要望が多くて、とりあえずサンプル用意するかと思ったら地味にやり方を忘れていたのでブログに書いています。 ドキュメントに書かれていない気もしますが Easy Auth はリクエストに Bearer Token を付けて投げると、正しく検証してクレームをデコードしてくれるようになっています。これを使うと色々楽になります。 アプリケーション側の実装は Easy
認証情報プロバイダーのポリシー変数を使用してAPI Gatewayへのアクセスをセキュアにする | DevelopersIO
認証情報プロバイダーのポリシー変数を使用してAPI Gatewayへのアクセスをセキュアにする方法について書きました。 こんにちは。CX事業本部Delivery部の木村です。 だいぶ久しぶりの投稿になってしまいしました。今年はできるだけブログ投稿していこうと思います。 概要 早速ですが、本題です。 IoTデバイスからAmazon APIGatewayにセキュアにアクセスしたいケースはよくあると思います。 Amazon APIGatewayにIAMによる認可を設定し、認証情報プロバイダーの仕組みを使用することで実現が可能です。 公式ドキュメント [AWS IoT] 既存の証明書だけでMQTT以外の各種AWSリソ−スにアクセスする (Authorizing Direct Calls) 今回はさらに踏み込んで、以下のようなAPIパスについて、IoT Coreに登録済みの証明書を所有しているデバイ
お世話になっております。OAuth2.0において、クライアント(credential client)のみの認証をしてRSのリソースを使用したいときに、client crendentials flowが使用できると思います。 先日以下の記事を読んでいて、このHMACによる認証はclient credentials flowとどっちが安全なんだろうという疑問がわきました。 https://blog.ohgaki.net/secure-api-key-with-hash-hmac-hkdf 両者ともにAPIアク
お世話になっております。OAuth2.0において、クライアント(credential client)のみの認証をしてRSのリソースを使用したいときに、client crendentials flowが使用できると思います。 先日以下の記事を読んでいて、このHMACによる認証はclient credentials flowとどっちが安全なんだろうという疑問がわきました。 https://blog.ohgaki.net/secure-api-key-with-hash-hmac-hkdf 両者ともにAPIアクセス(OAuthではRS)にclient secretが毎回直接送られる形ではないですし、HMAC認証にも有効期限や認可の仕組みも付与できるという認識です。もちろんHMAC認証は認可リクエスト等を送る必要がない分、すこしシンプルというメリットがあるのかもしれませんが、両者のメリット・デメリ
Implementing the Web Cryptography API for Node.js Core | Nearform
(window.innerHeight * 0.02)) { this.headerClass = 'header--frosted'; if(window.location.pathname == '/') { this.bannerVideo = false; this.headerClass = 'header--frosted'; this.showNotice = false; } } else { this.headerClass = 'nope'; if(window.location.pathname == '/') { this.bannerVideo = true; this.headerClass = 'header--overvideo'; this.showNotice = true; } else { this.bannerVideo = false; this
IstioとAuth0でJWT認証付きAPIを5分でデプロイする - JX通信社エンジニアブログ
SREのたっち(@TatchNicolas)です。 JX通信社では、月に一度「WinSession」というリリースした機能や検証したリリースについて開発チーム全体へ発表する機会を設けています。今回は自分が前回社内に紹介した「パパッと便利APIを作って5分でお手軽&セキュアにデプロイする」方法について書きます。 TL; DR; Istio/cert-manager/Auth0を使って、任意のコンテナを認証つきで5分でデプロイできる仕組みを作った 設定はアプリケーションごとに独立し、中央集権的なリポジトリに依存しない*1 きっかけ プロダクト間で共通のAPIを認証付きでパパッと作りたいこと、よくありますよね? でも、アプリケーションに毎回認証のための仕組みを組み込むのは骨が折れます。アプリケーションはあくまで、アプリケーションの関心ごとに集中させたい。すると、サイドカーコンテナを使って責務を分
【GO】echoでJWT認証のAPIサーバーを構築した - Qiita
func main() { e := echo.New() // 通常のルーティング e.GET("/articles", GetArticleList) // JWT認証が必要なパスをグループ化※ r := e.Group("") r.Use(middleware.JWTHeaders()) r.GET("/user", GetUserInfo) r.POST("/articles", CreateArticleInfo) } r := e.Group("")でJWT認証が必要なパスをグループ化しました。 r.XXXと書いたパスでAPIコールした場合は、JWT認証をすることになります。 例えば、r.GET("/user", GetUserInfo)のところでは、APIコールする時にリクエストヘッダにJWTを突っ込んであげて認証するという実装が必要になりますね。 フロントエンド側の実装は以
GitHub APIを使うBotたちのGitHub Appsへの移行 - KAYAC engineers' blog
どうもこんにちは、ソーシャルゲーム事業部ゲーム技研の谷脇です。 この記事はTech KAYAC Advent Calendar 2019 Migration Trackの14日目の記事です。13日目はAmazon S3 Signature V2 廃止対応にまつわるあれこれでした。 従来のGitHub APIを使うBot カヤックではGitHubを使っています。また、各プロジェクトでは自動化されたワークフローの一環として、Slack上でのコマンドからPull Requestを作成したり、レビュワースロットを実行したり、勝手に手順書を生成してissueに貼るなどしています。 こういったBotたちはGitHub上のリソースを操作するために、GitHub APIを使用しています。Organization内のPrivateリポジトリを操作するためには、認証のためにGitHub Tokenが必要です。
GitHub API v4 を適当な知識で使ってみる - Qiita
ドキュメント GraphQL API v4 - GitHub Developer GraphQL API v4 - GitHub Developer (Enterprise) GraphQL クライアントの選択 GraphQL API を呼ぶためのクライアントは色々あります。 GraphiQL Altair GraphQL Client (Chrome extension) GitHub GraphQL API Explorer GitHub API 専用の GitHub GraphQL API Explorer を使うのが手っ取り早いかもしれませんが、ここでは Altair (アルタイル) を使ってみたいと思います。 Altair の起動 サイトから Altair の Chrome extension をインストールして起動すると、以下のような画面が表示されます。エンドポイントに以下を入
急に外部APIとの通信が "dh key too small" で失敗するようになったのはなぜ? - BANK tech blog
こんにちは。最近TRAVEL Nowの開発にも顔を出すようになったうなすけです。今回はTRAVEL Nowの開発において発生した問題について書こうと思います。 外部API連携部分で突然のエラー TRAVEL Nowでは、外部のOTAと連携し、旅行商品を皆さんに提供しています。 そんな数多くのAPIのうち、ある特定のAPIで次のような例外が発生して通信ができなくなってしまいました。 OpenSSL::SSL::SSLError (SSL_connect returned=1 errno=0 state=error: dh key too small) それも、本番環境でのみ発生します。 始めはこのエラーについてよく理解しておらず、 http.verify_mode = OpenSSL::SSL::VERIFY_NONE を指定してみたり、 apt install ca-certificate
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Introducing Cloudflare’s 2024 API security and management report
Cybersecurity startup Corsha lands $12M
Simplify API security with Authorino | Red Hat Developer
Why API Security Is Different and How the OpenAPI Spec Can Help