ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
匿名かつ検証可能なPrivate Access Tokensの提案仕様 (プライベートアクセストークン) - ASnoKaze blog
「Private Access Tokens」という提案仕様が、Google, Apple, Fastly, Cloudflareの方々らの共著でIETFに提出されています。なお、すでに実装が進められているそうです。 この「Private Access Tokens」の一つのモチベーションに次のようなものがあります。 昨今、プライバシー保護の要求は高まっており、ユーザのIPアドレスを秘匿する、iCloud Private RelayやOblivious HTTPといった技術が出てきています。いままではIPアドレスベースでアクセスレートリミットを行っていましたが、 そのような環境でも、アクセスのレートリミットを設けたいというというのが一つの目的です。 それを、追加のユーザインタラクション無しに、かつユーザをトラッキングできないような匿名なトークンで行うというのがPrivate Access
CDN(Content Delivery Network)やインターネットセキュリティサービスなどを手掛けるCloudflareは2022年9月28日(米国時間)、「CAPTCHA」に代わる無料の認証API「Cloudflare Turnstile」のオープンβ版を発表した。 CAPTCHA(Completely Automated Public Turing test to tell Computers and Humans Apart)は主にWebサービス上で、自動化されたプログラム(bot)によるサービスの不正利用を防ぐための仕組みを指す。数種類の方式があるが、読みにくい文字列(ゆがんでいたり、ノイズが混じっていたりする)が含まれた画像を表示し、ユーザーがその文字列を正しく入力できたかどうかで、人間か否かを判定するものが有名だ。 だが、こうしたCAPTCHAはユーザーにとって煩雑で面
俺のワンタイムパスワードはいつ当たりが出るのか
$ time node index.js 1 *100k searched.. 2 *100k searched.. - snip - 20 *100k searched.. 21 *100k searched.. Found in 21 *100k + 25484 Fri Aug 09 2024 13:22:25 GMT+0900 (日本標準時) 1723177345522 777777 real 1m7.435s 再来年の8月か...楽しみだなぁ... Googleカレンダーに入れなきゃ。 安全性 なんでこんな簡単で面白い事をみんなやらないの?というのは当然の疑問かもしれない。 アカウントとセキュリティ 当然、 ↑で使ったSecretは本物ではなくてデモサイト( https://rootprojects.org/authenticator/ )で生成したものを使っている。このため、仮に
OAuth / OIDCを学ぶための最短経路
はじめにここ数ヶ月、OAuth / OIDC の勉強をしていました。 はじめはどこからどう手を付ければいいのかわからず、OAuth と名のつく本や資料をとりあえず色々読んでいました。 勉強していくなかで、効率の良い学習方法が少しずつわかってきたので、まとめます。 学習する順番のまとめOAuth & OIDC 入門編 by #authlete - YouTubeを見るOAuth / JWT /OIDC の全体感を掴みますここではすべてを理解するのではなく、何がわからないのかをわかることが目的です雰囲気で使わずきちんと理解する!整理して OAuth2.0 を使うためのチュートリアルガイドを読むOAuth とはどういうものかということを理解しますOAuth、OAuth 認証、OpenID Connect の違いを整理して理解できる本を読むOIDC とはどういうものか、OAuth とはどう違うかと
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは。サービス統括本部ID本部で認証サービスの開発運用を担当している服部です。 パスワードに代わる新たな認証手段としてパスキーが登場し、多くのサービスでも利用ができるようになってきていますが、みなさんはご活用されていますでしょうか。このパスキーとはパスワードに代わる認証情報で、Fast IDentity Online(FIDO)仕様というFIDOアライアンスによって規格策定されている技術をベースとしています。ヤフーでも2018年から「生体認証でログイン」としてFIDO認証に対応し、2023年よりパスキーをつかった認証にも対応しています。 この記事ではこのFIDO認証の技術的な説明から当時の課題と解決方法、そしてその解決方法を
AWS AmplifyといえばAWSが提供しているフロントエンド開発者向けのライブラリやツールセットです。今回はそんなAWS Amplifyについてです。 はじめに おさらい AWS Amplifyはフロントエンド開発者にとっての銀の弾なのか 無理して使わなくてもいいケース バックエンド側のライフサイクルや開発部隊が分かれてる場合 AWSのリソースに直接アクセスしない場合 認証・認可の手段としてCognito使わない場合 Server Side Rendering(SSR)の場合 AWS WAF使いたい場合 Amplify CLIに対応していないバックエンドを利用したい場合 AWS Amplifyがおすすめのケース まとめ はじめに この投稿は2020年10月22の21時から開催予定のイベント(ライブストリーミング)で話す内容です。 serverless-newworld.connpass
小説、漫画、アニメ、映画などの架空世界に登場する「認証的なモノ」を取り上げて解説する連載をITmediaで出張掲載。第17回のテーマは「認証とシンギュラリティ」。 この記事は認証セキュリティ情報サイト「せぐなべ」に掲載された「架空世界 認証セキュリティセミナー 第18回『認証と技術的特異点(シンギュラリティ)【BEATLESS】」(2018年3月22日掲載)を、ITmedia NEWS編集部で一部編集し、転載したものです。当時未発売だった製品やサービスの記述などは、本記事掲載時の状況に合わせて編集しています。 SFアニメ「BEATLESS」 ……それでは講義を始める。 前回は映画「キングスマン」「キングスマン:ゴールデンサークル」に登場する認証を紹介した。いかがだっただろうか。 「掌紋認証」という生体認証や、スパイや敵役ならではの認証を紹介した。未見の方も興味が出たのではないかと思う。 さ
Cloudflare Workers を活かしきるスタックを考えた(remix+d1 on pages-functions) + 残タスク
Cloudflare Workers を活かしきるスタックを考えた(remix+d1 on pages-functions) + 残タスク このスクラップ で試行錯誤していたまとめ。 最終形はここにアップロードした。 docs の下に、このリポジトリを生成した手順、セットアップ方法、リリース方法を書いてある。 (remix-validated-form や vitest のテストの追加でもうちょっといじるとは思う) なぜ cloudflare-workers + d1 のポテンシャルは最強で、近い未来、開発者|個人開発者の銀の弾丸になると思っているのだが、それを活かす開発スタックが知られていない(要出典)。この記事では GW の間に自分で周辺ライブラリを使い倒しながら選定していった。 2021年 は Fullstack Next.js 元年なので、有望な Next.js 系フレームワークを
GitHub supports Web Authentication (WebAuthn) for security keys
ProductSecurityGitHub supports Web Authentication (WebAuthn) for security keysThe WebAuthn standard for security keys is making authentication as easy as possible. Now you can use security keys for second-factor authentication on GitHub with many more browsers and devices. GitHub now supports Web Authentication (WebAuthn) for security keys—the new standard for secure authentication on the web. Sta
ID管理ベンダーのOktaは11月9日から3日間、米国サンフランシスコで年次カンファレンス「Oktane 22」を開催。現地時間10日の基調講演で共同創業者兼CEO(最高経営責任者)のTodd McKinnon氏が登場し、従業員向けの「Okta Workforce Identity Cloud」と、2021年に買収したAuth0のテクノロジーをベースとする「Okta Customer Identity Cloud」の2つのソリューション体系を発表。今後の方向性を示した。 ID管理はセキュリティ、クラウド、DXを促進 Oktaneは3年ぶり10回目の開催になる。2009年にOktaを共同創業した(当時の社名はSaasure)McKinnon氏は、現地会場に参加した6000人とオンラインの視聴者を前に、10年間の成長を振り返った。 2013年時点の顧客数は500社、従業員数は200人だったのが
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]
送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説 実在するメールアドレスを悪用して、マルウェアに感染させたり、ID/パスワードなどの重要情報を騙し取る「なりすましメール」の被害が後を絶ちません。偽の口座に直接金銭を振り込ませるなどの実害も発生しています。なりすましメールは実在の人物を騙り、ビジネスメールのような内容で送られてくるので、人が見分けるのは非常に困難です。この対策に有効な手法が「送信ドメイン認証」です。人では判別が難しいなりすましメールを識別し、被害を未然に防ぎます。その仕組みと効果的な活用法を詳しく紹介しましょう。 (関連記事)新潮流になるか?GoogleとYahooが発表した「今後は受信しないメール」の条件 なりすましメールの被害が拡大している理由とは ここ数年、情報や金銭を搾取される企業被害が相次いで報道されていま
![送信ドメイン認証(SPF / DKIM / DMARC)の仕組みと、なりすましメール対策への活用法を徹底解説-エンタープライズIT [COLUMNS]](https://cdn-ak-scissors.b.st-hatena.com/image/square/a8875d174039686c2e8efce10da0e4cd0d7a7650/height=288;version=1;width=512/https%3A%2F%2Fent.iij.ad.jp%2Fwp-content%2Fuploads%2F2019%2F06%2Fe-security-300x141.png)
CNAME トラッキングについての議論
先日割と感情的に呟いたものがそこそこ拡散されてしまって、「良くないものだ」という気持ちだけが広まってしまうのは本意ではないので、改めてきちんとした議論をしたいという思いでこの記事を書きます。 前提となる立場 トラッキングをすること自体の是非は問わない トラッキングの手法についての議論である ユーザーがトラッキングを望まない場合、積極的な対処をせずとも有効な選択肢が与えられる状態が望ましい CNAME トラッキングの方法・背景 アドエビスによる解説がわかりやすいです。最近の Third-party Cookie に対する制限の回避策となり得ます。 セキュリティの懸念事項 不適切な設定をされた Cookie が、トラッキングサービスに送信されてしまう Set-Cookie ヘッダに Domain ディレクティブを指定した場合、すべてのサブドメインに Cookie が送信されてしまいます。もし認
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
https://twitter.com/kuwahara_jsri のやってる朝活Twitterスペースで以下の記事を知りました。 もちろんこういったリスクを列挙、検討するのは重要なことなのですが、 Firebase Authentication関係ない話では あれ、仕様に関して勘違いしてる? というのがいくつかあったので、再整理していきます。リスクは列挙することには業務上あまり意味はなく、評価され、リスクを受け入れるか外すかを判断するところが重要なので。 IDaaSは脆弱性を生み出すか IDaaS を導入することにより、逆に脆弱性が生まれることもあります。(中略) Firebase Authentication は他の IDaaS と比べて設定項目が少ないという特徴があります。 もちろんここに書かれてることは間違いではありません。ただ、少し実装にフォーカスが寄りすぎていると思っています。
JJUC CCC 2020 Fall の登壇資料です。 https://confengine.com/jjug-ccc-2020-fall/schedule/rich#session-28680-info keyword - BaaS ( Banking as a Service ) - Keycloak - OpenID Connect / OAuth 2.0 - Java / Spring Boot
面倒な手順は不要!HTMLの記述だけで多機能なユーザー認証を実現する「Authpack」を使ってみた! - paiza times
どうも、まさとらん(@0310lan)です! 今回は、ごく普通の静的なWebサイトにユーザー認証機能を手軽に組み込める無料のサービスをご紹介します。 特に難しいプログラミングは必要なく、単純なHTMLの属性を付与するだけで誰でも簡単に高度な認証機能を実装できるのが大きな特徴です。 また、ログインユーザー向けのコンテンツを作成したり、自動的に画面を遷移させるなど便利な機能もたくさん盛り込まれています。HTMLの基本的な知識があれば誰でも活用できるので、Web開発にご興味ある方も含めてぜひ参考にしてみてください! なお、paizaラーニングでは、動画で学べる「HTML/CSS入門編」の講座を公開していますので、まずHTMLの基本を学びたいという方にはこちらもおすすめです。 【 Authpack 】 ■「Authpack」の使い方 それでは、「Authpack」の基本的な使い方について具体的に見
【VRChat】リッピングでパスワードギミックが破られるので公開鍵を利用した対策品を作りました【無料配布】 - チカラの技術
こんにちは! 本記事はVRChatのワールド向けパスワードギミックの紹介・配布記事になります。 まず結論から:要点とギミック配布 従来のパスワードギミックはリッピング(VRChatのデータを不正にダウンロードする行為)によってパスワードが簡単に抜かれてweb上に公開され、誰でも開錠可能になってしまうことが分かりました。 今回その対策としてJWT(公開鍵を利用した検証技術)による新しいパスワードギミックを作成しました。ワールドデータにパスワードを置かないためリッピング耐性があります。従来のパスワードギミックの置き換えとして使用でき、オプションでパスワードの漏洩対策もできます。 こちらで無料配布しています。(MITライセンスで改変・再配布可能です) power-of-tech.booth.pm ※ VRChat公式のモデレートガイドラインの対応についてはマニュアルの序章に記載しています。 ワン
今後Safariで起きること Safariとは、Appleで開発されているWebブラウザであり、パソコンであるMacの他にiPhoneやiPad、Apple TV、Apple Watchなどの端末に標準で搭載されています。 このSafariにおいて、2020年9月1日以降に発行された「有効期間が399日以上」のSSLサーバー証明書(以下、SSL証明書)が信頼されないことになります。 具体的なエラー画面の仕様などは明らかにされていませんが、Appleの発表に「This might cause network and app failures and prevent websites from loading.」と書かれていることから、失効したSSL証明書を利用しているサイトにアクセスした時のように、全画面でエラーが表示されてサイトへはアクセスできなくなってしまうことが考えられます。 購入済み
DMARCとは DMARC(Domain-based Message Authentication, Reporting, and Conformance)とは、なりすましメール対策の技術で、電子メールの送信元のドメインを認証する技術の一つです。 Yahoo!メールでは以前からSPF(※1)、DKIM(※2)というなりすましメール対策技術を導入しています。 これらがYahoo!メール側でなりすましを判断する技術であるのに対して、2020年3月より順次導入されるDMARCは「なりすまされたメールの扱い(ブロック、迷惑メール判定など)を設定」することで、ユーザーの皆様になりすまされたメールが届かないようにするための技術となります。 これによって今まで以上になりすましメール対策が強化され、より安心・安全なメールとしてお使いいただけるようになります。 ※1 SPF (Sender Policy F
※ 2023年 改定: Google Cloudのキャプチャを最新のものに差し替えました。 ステッカーは「OAuth完全に理解した!」ステッカーです。 トップの画像をご確認ください Auth屋の本の評判: https://togetter.com/li/1477483 雰囲気OAuthシリーズ第2弾!認可のプロトコルであるOAuth2.0と認証の関係を理解するための本です。OpenID Connectの入門書でもあります。 ■ 想定読者 以下のいずれかに当てはまるエンジニアが想定読者です。 • OAuthと認証の関係を理解したい • 「SNSアカウントでログイン」の仕組みを知りたい • OpenID Connectを理解したい ■ この本を読むメリット 「OAuth は認可のプロトコルなのになぜ OAuth"認証"という言葉が使われているのか」 「OAuth 認証と『OAuth を認証に使
![OAuth、OAuth認証、OpenID Connectの違いを整理して理解できる本 [2023年改訂版] - Auth屋 - BOOTH](https://cdn-ak-scissors.b.st-hatena.com/image/square/127737ea575017a2185e9fa702ca14e2664176d1/height=288;version=1;width=512/https%3A%2F%2Fbooth.pximg.net%2Fc%2F620x620%2Fcf80a27c-5163-4a4b-9d2b-2ba823d41bec%2Fi%2F1550861%2F8e5994c7-c997-4ab8-b6d6-d3075b91f791_base_resized.jpg)
はじめに いまやWebサイトはすっかりHTTPSが常識になりました。ほんの数年ほど前は「常時SSL」というキーワードをよく目にしましたが、それが実現した今となってはまったく見なくなりました。 平文のHTTPが安全でないのはわかるとして、HTTPSならばほんとうに安全なのでしょうか。 事例1: MyEtherWallet 2018年4月、MyEtherWalletという仮想通貨事業者の権威DNSサーバへの経路がBGPハイジャックされました。myetherwallet.comのDNS問い合わせに対して、偽の権威DNSサーバが偽のWebサーバにアクセスさせるような応答を返し、結果として、偽MyEtherWalletにアクセスすることになったユーザから15万ドル相当の仮想通貨が奪われました。 The Registerの記事 Oracleによる解説 ユーザが誘導された偽のWebサイトはHTTPSで動
モバイルとの相性最強と言われるgRPCをFlutter x NestJSで実装し、Stream通信や認証、複数言語実装に使えるか試す
まとめ 相性バツグンといわれる、モバイル x gRPCは思ったよりずっと簡単に実装可能 複数言語間でもProtocol Buffersの恩恵により型変換を意識することなくスムーズに開発が進められる。 メソッド、引数の型、引数の返り値の型が自動生成されるのでとても良い RESTful APIにおけるheaderを、表現力の高いMetaDataとして利用し、認証認可等にも使えそう Streamをうまく使いこなせば、ユーザー体験をめっちゃ高くできそう。チャットやゲームなどの双方向通信が比較的楽に実装できるかも どんな人向きでない記事? NestJSの詳しい実装を知りたい方 Bidirectional streaming, Client streamの詳細実装を知りたい方 モバイル向け通信技術の本格的な選択肢、gRPCを実際に試してみたい 現在、私の働いているMinediaで開発しているサービス群
> ykman oath accounts add -t arn:aws:iam::${ACCOUNT_ID}:mfa/${MFA_DEVICE_NAME}
米Microsoft(マイクロソフト)は2023年10月11日、Windowsで「NTLM(NT LAN Manager)認証」を廃止する方針を明らかにした。理由は、NTLM認証がセキュリティー面の問題を抱えているためだ。パスワード長が短い場合、短時間で破られてしまうという。Windowsでは現在、NTLM認証よりもセキュアな「Kerberos認証」が主に使われており、マイクロソフトはユーザーに対してNTLM認証からKerberos認証への移行を推奨している。 もっともKerberos認証にはドメインへの参加が必要なため、Active Directory(AD)環境でしか使えない。企業がワークグループを利用している場合、いまだにNTLM認証が使われている。 現実には、中小企業を中心にワークグループを利用しているケースはまだ多い。Windowsシステムの構築を数多く手掛ける大塚商会の渡邉輝樹
なんかいけそうな気がしたので Code Interpreter でシュッと Web アプリつくってもろた|bbz
ちゃっす(/・ω・)/ 今日も ChatGPT Code Interpreter さんと戯れていましたの。 で、タイトルの通りなのだけれど、仕様書書いて渡したら Web アプリシュッと作ってくれんじゃね?( ・ω・) という闇の遊戯をした。 という話。 目標実行や指示はすれどもワタクシは一切コードを書かぬ!! 普通にエラー修正とか自分でやった方が早いけどやらぬ!! 全てを ChatGPT への指示で完結する!! で、納品されたもの(/・ω・)/ 納品物 トップページ 登録画面 ログイン画面 Activity 一覧 Activity 修正 レポート画面 すごない?( ・ω・) やったこと~ChatGPT との対話を残すでござる( ・ω・) ※ ChatGPT Code Interpreter Plugin が使えないと同じ事はできないぞ☆ 仕様書を提供しますので、 仕様にそった Flask
Next.jsとAuth0で本管理サイトを作ってみた
Next.jsとAuth0を使って読んだ本を管理するサイトを作ったので使った技術等を紹介します。 github どんなサイトか? まずは、どんなサイトを作ったのかを紹介します。読んだ本の管理を行うサービスで、主な機能は3つです。 Google Book APIに登録されている本を検索して本棚に保存できる 登録されていないなくてもアプリ内で新しく登録できる。 今まで本棚に登録した本の合計ページ数・本の高さ・本の重さを表示。1ページ当たり0.5g、0.15mmで計算します。 画面遷移 1.トップ画面 アプリのトップ画面。「アカウント作成・ログイン」ボタンを押すことでログイン画面に遷移します。 2.ログイン画面 Auth0を使ったログイン画面。認証方法は2種類あります。 Googleアカウントを使ったログイン メールを使ったログイン 3.ホーム画面 今まで読んだ本を管理する画面。最近読んだ本の表
Startupのよくある課題をAWSで解決する 塚田朗弘氏(以下、塚田):みなさん、こんにちは。「こんにちは」ですよね? 朝、藤倉(成太)さんが間違えて「こんばんは」と言っていましたが。よろしくお願いします。 今ご紹介があったとおり、このセッションは「[AWS Startup ゼミ] よくある課題を一気に解説! ~御社の技術レベルがアップする 2019 春期講習~」というかたちで、3名でお送りしていきたいと思います。 まず、3名がどういう人間かだけ、ちょっとお伝えしていきたいと思います。 私は塚田朗弘といいまして、スタートアップのお客さまを支援するソリューション アーキテクト……技術支援の担当者ですね。3人ともそうなのですが。そのなかでもモヒカンで、モバイルとかサーバレスとか、そういったテクノロジーを扱っている者になります。 よかったら、ここで祝福をしていただきたいのですが……今日は誕生日
いまさら聞けないActive Directoryの仕組みと運用:今だからこそ学び直すActive Directory基礎のキソ(1) Microsoftの「Active Directory」は、オンプレミスにおけるID管理システムとしてリリースされてから20年以上経過しました。その間、Active Directoryの構築や運用に携わってきたメンバーは去り、社内にノウハウもないまま引き継がなければならなくなったメンバーも多いと聞きます。そこで本連載では、あらためてActive Directoryを学び直していきます。
私も大変有り難く利用させてもらっている、みんな大好きLet's Encryptはいろんな方の寄付のおかげで無料で利用できるSSLサーバー証明書の発行サービスですが、何やらルート認証局の移行が話題になっているので、ちょっと調べてみました。 問題の概要は、こちらのブログでとても詳しく解説されており、とても参考になりました。ありがとうございます。 公式から出ている説明だと、出てくる証明書の関係がわかりにくく、図もちょっと間違っていたので、別の図を起こしました。簡単には、DST Root X3ルート証明書が期限切れを迎えそうなので、新しいISRG Root X1ルート認証局に移行したいわけです。 certbotを使っていると /etc/letsencrypt/archive/ドメイン/ に発行された証明書、チェーン、秘密鍵の履歴が残りますが、その時期を頼りにどうなっていたのか見てみます。 2020
2020年コロナ禍の特別定額給付金では、マイナンバーカードがあればオンライン申請できて早めに給付金を受け取ることができた。少しずつマイナンバーカードを持つメリットが増えてきた。将来的には健康保険証や運転免許証の代替として利用できるという話もある。しかしもっと大きなメリットがあるという。ゆめみ 池口直希氏がRustを使ったマイナンバーカードを操作するアプリの作成を通して解説する。 株式会社ゆめみ マーケティングソリューション事業部 サーバーサイドエンジニア 池口 直希氏 マイナンバーカードの仕組みはどうなっている? 国立豊田高専を中退し、2021年4月にゆめみに入社した池口直希氏。サーバーサイドエンジニアでPHP、TypeScript、C#、Go、Rustといった言語のほか、AWS、Terraform、Dockerなどを使う。「なんでも屋なので、フロントエンドにも手を出したりもしています」と
yama//ZSignal (影ノゆう) on Twitter: "SHARPがマスクを販売する ↓ SHARPの会員サイト COCORO MEMBERSがアクセス集中する ↓ 503エラーで落ちる ↓ ログインができないためか、SHARP製すべてのIoT機能が使えなくなる ↓ うちのエアコンが付かない←イマココ"
SHARPがマスクを販売する ↓ SHARPの会員サイト COCORO MEMBERSがアクセス集中する ↓ 503エラーで落ちる ↓ ログインができないためか、SHARP製すべてのIoT機能が使えなくなる ↓ うちのエアコンが付かない←イマココ
いま話題のツイートまとめが読めるTwitterまとめに特化したまとめサイト。人気のツイートやTwitterトレンド、写真やマンガといった話題の画像から、さまざまなニュースの反応まで、みんなであつめる国内最大級のメディアプラットフォームです。
「認証は OIDC 等のデファクトに乗っておけ」 というのはわかりました。ではその次。認証した後です。 残念ながらアクセス制御の枠組みにはデファクトがありません。 自分で設計するしかないのです。 しかし、我々は漠然と車輪の再発明を続ければいいのでしょうか。アクセス制御にスタンダードが無いなら無いなりに、 どのようにアクセス制御機構を整備すればいいのか?その考え方を整理していきましょう。Read less
【Vue.js】【Firebase】routerを使ってログイン認証がないと見れないようにする設定方法 - かとのぼのマイコード・マイライフ
この記事は、Vue.jsとFirebaseでログイン認証を実装した際、ログインしていないと見れない画面を設定したい場合のサンプルコードと解説です。 サンプルコードは、サーバーはFirebaseで、Vue-Routerを使っている前提で説明しています。 1.Vue-routerのログイン認証判定のポイントは「meta」と「requiresAuth」 2.「router.beforeEach」を設定することで画面遷移する前にログイン判定 3.実際のサンプルコード 1.Vue-routerのログイン認証判定のポイントは「meta」と「requiresAuth」 ログイン判定が必要なパスだと設定するには「ルートメタフィールド(要するにmeta情報)」を利用します。 ルートメタフィールド | Vue Router 「router.js」にVue-routerのコードを記述していますが、そのroute
シンジです。情報セキュリティの方針として参考にされることの多い「情報セキュリティ10大脅威2021」がIPAから発表されました。情報セキュリティの脅威や被害は時代背景をうつしたものが多く、パンデミックによる影響も見て取れます。そんな時代に最適解のゼロトラストアーキテクチャで、ランキングの大半がゼロトラストによってカバーできることを具体的に説明します。 ざっくり書くと、こうです。 その前にゼロトラストアーキテクチャを理解しよう シンジ自体はパンデミックよりも前から会社まで作ってこのアーキテクチャを実践してきたので、最近では数少ないゼロトラスト警察のひとりとして、ネットニュースや各所のWebサイト、オンラインイベントで「ゼロトラスト」の単語が出るもののほぼ全てを確認してきましたが、基本的に「わかってない」ので、改めておさらいしておきましょう。 情報セキュリティを実践する=IT環境をシンプルにす
【Go編】Next.js × Go × AWSでJWT認証付きGraphQLアプリとCI/CDを構築してみよう - Qiita
■ご案内■ 本連載の背景/作成できるアプリケーション/進め方をご理解頂く上でも【環境構築編】 をご一読頂けると幸いです。 【環境構築編】 【Next.js編】 【Go編】 👈いまここです 【AWS編】 これからも頑張ってハンズオン系の記事を書いていきたいと思っているので、いいねっと思って頂けたらLGTM押していただけると励みになります! 環境構築 本サンプルアプリの環境構築方法は【環境構築編】に記載しているので、そちらをご参照ください。 クリーンアーキテクチャ風なディレクトリ設計 以下の記事を参考にしつつクリーンアーキテクチャ風なディレクトリ設計をしてみました。 各階層間をインターフェースを利用して、システムの各部分を疎結合化しております。 # 簡単のため一部ファイルは割愛しています go-graphql-jwt-api/ ├── build/ │ ├── db/ │ └── dock
書いてってリクエストされたので、書きます 2020.07.29 神々からいろんなお知恵を授かったので一部修正しています 主な修正点はOIDCのグルーピングと権限周りについてです。こちらできないと書きましたが、OIDCのclaimとして存在しているのでSP側で対応していれば可能なようです。できるかどうかはSP(サービスの対応次第) 最初に言いたいこのnoteはSSOから始まり、SAMLとかIdPだとかOIDC・OAuthだとか最終的にはProvisioningまでと用語はたくさん出てきますが、技術的な部分はほぼ削ってます。そして、情シス目線でコンシューマーサービスを利用したい・制御したいという立場で書いてます。tCサービスではまた違う角度でみる必要があるので、気をつけてください。あくまでこれは情シス目線 Tech寄りの要素が知りたくなったら他で調べてみてください。このnoteは、認証認可って
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
はじめに OAuth 2.0 のフローをシーケンス図で説明したWeb上の記事や書籍を何度か見かけたことがありますが、 フローの概要に加え、クライアントや認可サーバー側でどういったパラメータを元に何を検証しているのかも一連のフローとして理解したかった RFC 7636 Proof Key for Code Exchange (PKCE) も含めた流れを整理したかった というモチベーションがあり、自分でシーケンス図を書きながら流れを整理してみた、という趣旨です。 記事の前提や注意事項 OAuth 2.0 の各種フローのうち、認可コードフローのみ取り上げています 認可コードフローとはなにか、PKCE とはなにかという説明は割愛しています 概要について、個人的にはこちらの動画が非常にわかりやすかったです: OAuth & OIDC 入門編 by #authlete - YouTube 認可コードフ
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
「CAPTCHA」に代わる人間証明API「Turnstile」、意外に簡単な仕組みと実装方法は?
FIDO認証&パスキー総復習(認証の仕組みやパスキー登場までの経緯)
AWS Amplifyを無理して使わなくてもいいケースについて挙げてみる - Sweet Escape
アニメ「BEATLESS」で味わう“認証とシンギュラリティ”
Okta、新ID基盤「Customer Identity Cloud」を発表--IdaaSをさらに拡大
14 Best Practices to Secure SSH Bastion Host
「Firebase Authentication 7つの落とし穴」のリスクを再整理する
認証・認可基盤に Keycloak を使って開発生産性を上げた話
2020年9月よりAppleがSSL証明書の有効期間を13か月に短縮!詳細や対策とは? | さくらのSSL
ドメイン認証技術「DMARC」について - Yahoo!メール
OAuth、OAuth認証、OpenID Connectの違いを整理して理解できる本 [2023年改訂版] - Auth屋 - BOOTH
その証明書、安全ですか? | IIJ Engineers Blog
YubiKeyでCLI環境でのAWS MFA認証を楽にする
ユーザー名とパスワードが正しいのにNASが利用不能に、NTLM認証廃止の波紋
スタートアップでありがちな問題をAWSで解決する––認証基盤からログの扱い方まで
いまさら聞けないActive Directoryの仕組みと運用
Let's Encryptのルート認証局移行についてちょっと調べてみた - Qiita
マイナンバーカードの仕組みはどうなっている? RustでAndroidアプリを作ってみて分かったこと【デブスト2021】
Togetter - 国内最大級のTwitterまとめメディア
認証の標準的な方法は分かった。では認可はどう管理するんだい? #cmdevio
2021年IPA10大脅威とゼロトラスト | ロードバランスすだちくん
情シスがなんで社内システムにIdPというかSAMLを導入した方がいいのか【一部訂正しました】|kobaso
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する