Chatwork の Scala プロダクトとそれを支えるチーム その壱 - Chatwork Creator's Note
これは Chatwork Advent Calendar 2020 / Scala Advent Calendar 2020 10日目 の記事になります。 こんにちは。サーバーサイド開発部の Scala プロダクトを開発運用する部署でマネージャーをしている、 hayasshi です。 Chatwork は Scala を採用すると決めてから、約 6 年経ちました。 その中で、失敗もしながら、少しずつ Scala のシステム領域を広げてきました。 今回と次回の二記事にて、この 6 年で開発し、いま実際に稼働運用されている、 Chatwork の Scala プロダクトの紹介と、それを普段どのように開発運用しているかについて、書きたいと思います。 Scala プロダクトの紹介 今回は Chatwork の Scala プロダクトについてご紹介します。 特に下記の項目についてそれぞれ記載したいと
こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログ IPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #security セキュリティ視点からの JWT 入門 - blog of morioka12https://t.co/g1MYe77hAF — morioka12 (@scgajge12) 2020年12月10日 普段は Web Security や Cloud Security 、バグバウンティなどを興味分
Authorization Code Flow with PKCE Clientの実装(Node.js) - Qiita
はじめに RFC7636 PKCE(Proof Key for Code Exchange by OAuth Public Clients)は認可コード横取り攻撃の対策(authorization code interception attack)として策定された仕様です。 また、PKCEは認可コード横取り攻撃にかかわらず、OAuth2.0におけるCSRFの対策としても機能します。 なお、stateによるCSRF対策ではクライアントが検証を実施するのに対して、PKCEによるCSRF対策では認可サーバーが検証を実施するという違いがあります。(PKCEを利用した場合でも、クライアントが固定値などの脆弱なcode_challenge、code_verifierを利用するとCSRFに対して脆弱になるためクライアントに対策の責務がないわけではありません) PKCEはスマートフォンアプリなどのPubl
はじめに Spring Security プロジェクトは、認可サーバーの実装を今後サポートしない旨、2019 年 11 月 14 日付の『Spring Security OAuth 2.0 Roadmap Update』でアナウンスしました。しかしその後、一部の有志が Spring の認可サーバー実装プロジェクト『Spring Authorization Server』を開始しました。この記事は、そのプロジェクトに対する警鐘となります。 OAuth 2.0 Multiple Response Type Encoding Practices 2012 年 10 月の RFC 6749(The OAuth 2.0 Authorization Framework)のリリースから 1 年 4 ヶ月後の 2014 年 2 月、OAuth 2.0 Multiple Response Type Enco
1. The document discusses various social media and video sharing platforms and tools for integrating them, including YouTube, Twitter, Flickr, iTunes, and Facebook. 2. It mentions several services that allow embedding or sharing content between platforms, such as CDTube for YouTube, ZonTube for Amazon, and amz.ly for shortening Amazon URLs for Twitter. 3. Programming languages and APIs mentioned i
APIキー、OAuthクライアントID、サービスアカウントキーの違い:Google APIs - 無粋な日々に
GoogleのサービスをAPI経由で利用する際、大きく3つの認証情報が登場します。「APIキー」、「OAuth2.0クライアントID」、「サービスアカウントキー」です。本投稿ではこれらの用途をざっくりと整理し、取得方法、Pythonでの使い方の違いを説明します。 まとめ 基本事項のおさらい APIの性質 認証情報の役割 3つの認証情報は想定される利用シーンが異なる 1. APIキー 取得方法 1. プロジェクトを選択 2. APIキーの作成 3. キーで利用するAPIを制限する(オプショナル) Pythonでの利用例 2.OAuth2.0クライントID 取得方法 1.同意画面の設定 2.OAuthクライアントIDの作成 Pythonでの利用例 3. サービスアカウントキー 取得方法 1. プロジェクトを選択 2. サービスアカウントキーの作成 3. 鍵ペアの作成 Pythonでの利用例 ま
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
オープンリダイレクトの原因と対策方法や、開発者としてこのオープンリダイレクトを見つける方法についてご紹介します。
この記事について Webアプリのアクセス制御を行いたい!となったときに学ぶべきなのは認証・認可の仕組みです。 AWSにはAmazon Cognitoというユーザー管理を行うための仕組みが存在し、これを利用すれば「実装するだけなら」簡単にアプリのアクセス制御を行うことができます。 この記事では「Cognitoが実際に何をやってくれているのか?」というところまで掘り下げながら、簡単なReactアプリを作っていきます。 アジェンダ Cognitoのユーザープールを作って触ってみる Reactアプリに認証の仕組みを入れてみる Cognitoで認証済みの人だけが叩けるAPIをLambda + API Gatewayで作る CognitoのIDプールを作り、AWSでの認可の仕組みを学ぶ Cognito IDプールで認可された人だけが叩けるAPIをLambda + API Gatewayで作る 使用する
OAuth 2.0 with Spring Security #jjug_ccc #jjug_ccc_b / oauth2-with-spring-security
JJUG CCC 2020 Fallでの講演資料です。Spring SecurityのOAuth 2.0機能について解説しています。OAuth 2.0自体は理解している前提の、中級者向け資料です。
社内勉強会での発表資料です。
Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2020 - Qiita
2020年になりすっかりなりを潜めていますが、DigitalIdentityに関する技術の勉強会である #iddance のアドカレやります。 参加条件は自由です。いわゆる認証認可と関連する技術、OAuth、OpenID Connect、FIDO、WebAuthn、DID、SSI、eyJ(JWT)、そしてSAMLとかに興味のある人、一緒に何か書きましょう!プロトコルや仕様に縛られずいろいろな話題が集まることを期待しています。 「書いてみたいけどお前やあの人の突っ込みが怖いんだわ」って時は事前のレビューもできますのでTwitterなどでご相談ください。 申し込んだけど穴空きそう!助けて!ってときもritouがなんとかしますので安心して参加してみてください。
OAuth 2.0 を参加者全員がある程度のレベルで理解するための勉強会を開催しました | DevelopersIO
現在私は barista という OpenID Connect と OAuth2.0 に準拠したID製品の実装を行っています。 また、私の所属する事業開発部では prismatix というEC、CRM の API 製品の開発を行っていますが、この prismatix の認可サーバーとして barista を利用しています。 barista チームの増員や、prismatix の認可についての理解を促進するため OAuth 2.0 をある程度しっかりと理解しているメンバーを増やしたかったので、勉強会を開催しました。 勉強会の内容 概要 雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本を全員で輪読 OIDC 編はこのあとやる予定 攻撃編もやりたい RFC 読んだりもしたい 参加者全員が以下を満たすことが目標 OAuth 2.0 の意図を理解
Firebase Authentication を利用した認証システムの実装 - Qiita
2022年2月追記 Firebase SDK v9では、実装方法が大きく変わりました。 v9を利用した認証の実装については、以下をご覧ください。 Authenticationを利用した実装 前回 に続き、 Firebase の備忘録を書いていきます。 今回はFirebase Authenticationを利用した認証システムの実装についてメモを残しておきます。 Firebase Authentication の設定 認証は、Firebase プロジェクトのコンソールから「Auhentication」を選んで設定していきます。 公式ドキュメントは以下。 ここでは、サンプルアプリで利用したGoogle 認証に絞って記述します。 Google 認証の設定 Authentication → Sign-in methodを選び、設定を「有効」に変更→保存で、終了。 Google認証の実装 Fireb
本記事は以下のような読者を想定しています 認証認可の初学者 Keycloak と Azure AD をID連携させたい方 はじめに 本記事では Keycloak を用いて外部ID連携を実装 します。 ID連携というのは自サービスのユーザー認証を外部へ任せることです。例えば本記事内でも使用する Keycloak というソフトウェアを用いると自社サービスへアクセスするためのユーザー認証を Google や Facebook などのアカウント提供者に任せることができます。 ID連携をすることで例えば以下のようなメリットが得られます。 ユーザー自身が管理するID/PWが少なくなる。 アカウント管理の負担が減る。 ここでは Keycloak と Azure AD を用いてID連携をしてみたいと思います。TwitterやGoogleなどのアカウントを用いたソーシャルログインやLDAPサーバーを用いたI
API開発の基本 - 銀行APIの開発事例に学ぶ『使いやすい』のデザインプロセス - エンジニアHub|Webエンジニアのキャリアを考える!
API開発の基本 - 銀行APIの開発事例に学ぶ『使いやすい』のデザインプロセス APIは多くのWebシステムにおいて、欠かすことのできない技術です。APIをどのように設計、デザインすれば、ユーザに利便性を提供できるのかを、GMOあおぞらネット銀行 CTOの矢上聡洋さんが解説します。API設計の基本、そして実際の銀行APIの設計から、“使いやすい”を生み出すためのデザインプロセスを学びます。
忘れそうなので一旦メモ。 ドコモ口座の問題って、こういうことでしょ? 銀行側のAALが1を満たさないので銀行側が銀行口座を保護できない 銀行側のAALが1を満たさないので「銀行にKYCを依拠する」というサービスのLoAが1を満たさずサービスとして成り立っていない 結果としてドコモ口座のIALは1 (= dアカウント登録直後と同等) のまま 「銀行口座名義とドコモ口座名義の一致確認」と「銀行にKYCを依拠」が同時に発生してしまっている結果「銀行口座名義とドコモ口座名義の一致確認」が実質なされていない 参考) https://gist.github.com/nov/b8be7b50db48862784b470c1ae6c1718 口座の一致確認が行われていないためドコモも銀行口座を保護できない ドコモ口座側のAALは1を満たすのでドコモがドコモ口座を保護することは可能 結果として銀行口座は保護
PKIプログラマがまとめた電子認証入門です。専門外なので間違いがあるかもしれませんが、自分の理解をまとめたものです。オープンな勉強会用に更新した改定2版となります。Read less
If you’ve ever been on a website, you’ve probably come across OAuth at some point or another, even if you’ve never heard of it. Have you seen a “Sign in with Google” button? If so, you’ve come across OAuth! This article will discuss briefly what OAuth (specifically OAuth 2.0) is, and how it can be implemented incorrectly from a security perspective. Particularly, it will highlight many of the issu
ソフトウェアエンジニアの彌冨です。 github.com 入社してからもうすぐで2年になろうとしています。 ベンチャーあるあるでいろいろとエンジニア領域外なこともやってきましたが、最近新規サービスをフルスクラッチで作り上げている中で苦労したユーザー認証の話を書きます。 前置き OpenID Connectとは こちらでは実装の話に集中するため、詳細の話は以下のスライドがわかりやすいので参考にしてください(OpenID Connect自体の話はある程度割愛させていただければと思います) OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜 from Masaru Kurahayashi www.slideshare.net ただ、端的に私の理解を述べると、OAuth2.0のプロトコルを拡張してシンプルなアイデンティティレイヤーを足すことで、認証と認可の両方を行うこ
はじめに FlaskとVue.jsを使ったWebアプリケーションの実装する際、ログイン機能とJWTを使ったAPIの認可の仕組みを実装しました。その機能のまとめです。 JWTをどこに保存するか問題など、明確な正解がない中で実装をしましたので、同じようにどうしようか迷っている方の参考になればと考えています。 脆弱性やもっと堅牢にするにはこうした方がよいなどあればコメントください。皆さんでより良い認証の仕組みを考えることができればいいと考えています。 今回はFlask-JWT-Extendedというライブラリを使用して、JWTの生成や検証を行っています。 また、生成されたJWTはcookieに保存されます。 サーバーサイド Flask Flask-JWT-Extended クライアントサイド Vue.js 用語 今回の記事で使用する用語と意味合いです。認識の齟齬を生まないために一応記載しておきま
こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感じでしょう。 そこで今回は、REST APIを用いた新規導入、移行というアプローチもあるのかなという話を書いておきます。 SPAとなると当然フロントエンドの振る舞いに注目されるけど、Deviseからの...を考える人たちはこの辺りから攻めるのもアリかと思う。ちゃんと整理して考えよう。https://t.co/fwhoA6wtjx— 👹秋田の猫🐱 (@ritou) 2020年8月19日 IDaaS の REST API この辺りをみてみてはどうでしょう。 Firebase Authe
Firebase AuthなどJavaScriptでAPIセッション用のトークンを得ることについて - Qiita
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう (※ こちらの参照記事の内容自体に不備があるとか甘いとか指摘するものではないんですが、勝手に枕として使わせてもらいます) 上記記事は、Firebase Authenticationが提供するJavaScript APIを使ってJWTのトークンを取得し、自前のサーバにHTTPのヘッダで送りつけて検証をさせることで、認証の仕組みをセキュアかつかんたんに実現しよう、という内容です。 このようにJavaScriptのAPIでトークンを発行して自前バックエンドのAPI認証につかう方法はAuth0のSDKなどでも行われていますので、IDaaSをつかってSPAを開発する場合には一般的なのかもしれません。 話は変わりますが、SPAの開発に携わっている方は「localStorageにはセッション用のトー
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
無料&Google Drive経由でKeePassのパスワードを同期できるプラグイン「KPSync for Google Drive」レビュー
無料で使えるオープンソースのパスワードマネージャー「KeePass」は、パスワード生成機能や二要素認証といった高度な機能を備えていますが、Google Drive経由でのデータベース同期にはデフォルトでは対応していません。無料のKeePass用プラグイン「KPSync for Google Drive」を使うと、KeePassのデータベースファイルをGoogle Drive経由で同期することが可能になります。なお、KPSync for Google Driveを利用するには、Windowsでバージョン2.35以上のKeePassを利用する必要があります。 KPSync for Google Drive™ | Secure sync automation with Drive. https://www.kpsync.org/ まずはプラグインのダウンロードページにアクセスして、「Downlo
パスワードが不要なメール認証の話と、Sign in with Apple に関わる App Store Review ガイドラインの話 | Annict
パスワードが不要なメール認証の話と、Sign in with Apple に関わる App Store Review ガイドラインの話 ソーシャルログイン (Twitterでログインとか) のプロバイダが増える度に無限に対応していくのは破綻しそうだなと思ったので、MediumとかSlackがやってるようなログイン用のメールを送ってパスワード無しでログインできる仕組みを実装しています。 上の画像は開発中のもので、まだリリースしていないです。 これをやり始めたきっかけが Sign in with Apple 対応で、今はソーシャルログインできるサービスのiOSアプリを作るときは Sign in with Apple を追加しないとリジェクトされるとのことです。 https://developer.apple.com/jp/app-store/review/guidelines/#sign-in
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
Microsoft Exchange Online/Google Workspaceの基本認証廃止に伴うサイボウズの対応
いつもサイボウズ製品をご利用いただきありがとうございます。 この度、マイクロソフト社「Exchange Online」およびGoogle社「Google Workspace(旧名称 G Suite)」において、基本認証を廃止することが発表されました。 この廃止により、POP/IMAPで従来の認証によるメール受信が行えなくなります。 本件に関するサイボウズ製品への影響および対応についてご案内申し上げます。
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。 2020.06.16 社内勉強会 はじめに この記事は株式会社digglueの新卒を含む社員向けの勉強会で利用した内容です。今回のテーマ「OAuth, SAML, OpenID Connect, SSOの違い」です。内容や表現の間違いなどがあるかもしれませんがご了承ください。 学習の目的 OAuthやActive Directoryなどのシングルサインオンの認証について理解を深めようとすると、SAML, OAuth, OpenID Connect, SSOなどの関連性のある用語が多く出てきて混乱します。今回はこれらの用語を比較し、認証についての理解を整理します。 SSO(シングルサインオンとは) 1度のログインにより複数のサービスはアクセスするための仕組みがSSOです。SAML, OAuth,
SecurityToken authentication requirements for API and Git operationsAs previously announced, beginning November 13th, 2020, we will no longer accept account passwords when authenticating with the REST API and will require the use of token-based authentication (e.g., a… As previously announced, beginning November 13th, 2020, we will no longer accept account passwords when authenticating with the RE
書いてってリクエストされたので、書きます 2020.07.29 神々からいろんなお知恵を授かったので一部修正しています 主な修正点はOIDCのグルーピングと権限周りについてです。こちらできないと書きましたが、OIDCのclaimとして存在しているのでSP側で対応していれば可能なようです。できるかどうかはSP(サービスの対応次第) 最初に言いたいこのnoteはSSOから始まり、SAMLとかIdPだとかOIDC・OAuthだとか最終的にはProvisioningまでと用語はたくさん出てきますが、技術的な部分はほぼ削ってます。そして、情シス目線でコンシューマーサービスを利用したい・制御したいという立場で書いてます。tCサービスではまた違う角度でみる必要があるので、気をつけてください。あくまでこれは情シス目線 Tech寄りの要素が知りたくなったら他で調べてみてください。このnoteは、認証認可って
next.js + vercel + firebase authentication で JWT の検証を行う + Graphql
今個人で作ってるアプリの 認証 + Graphql の部分を抜き出して GitHub に公開した。 mizchi/next-boilerplate-20200727 next.js + vercel + firebase は (パーツを良く選べば) 最高 next.js はルーティングを持つページを作るには最高で、サーバー、静的サイト、JAM スタック、AMP と必要に応じて選択できる。React ベースならこれ一択。 認証サーバーの実装は毎度疲れるし、Firebase Athunetication はこの点においては OAuth Secret を置くだけ + Custom Provider も作れるので、最高。 それと比べて firestore は、ちょっと前に firestore べったりでアプリを試作したことがあったのだが、型がないためにかなり扱いづらく、また読み書きの速度が遅くパフ
改定版があります。 https://www.slideshare.net/lemiyachi/oauth-20oidcfido-238611090 PKIプログラマがまとめた電子認証入門です。専門外なので間違いがあるかもしれませんが、自分の理解をまとめたものです。クローズドな勉強会用の資料ですが公開します。Read less
OAuth / OIDCを学ぶための最短経路
はじめにここ数ヶ月、OAuth / OIDC の勉強をしていました。 はじめはどこからどう手を付ければいいのかわからず、OAuth と名のつく本や資料をとりあえず色々読んでいました。 勉強していくなかで、効率の良い学習方法が少しずつわかってきたので、まとめます。 学習する順番のまとめOAuth & OIDC 入門編 by #authlete - YouTubeを見るOAuth / JWT /OIDC の全体感を掴みますここではすべてを理解するのではなく、何がわからないのかをわかることが目的です雰囲気で使わずきちんと理解する!整理して OAuth2.0 を使うためのチュートリアルガイドを読むOAuth とはどういうものかということを理解しますOAuth、OAuth 認証、OpenID Connect の違いを整理して理解できる本を読むOIDC とはどういうものか、OAuth とはどう違うかと
マイクロサービスでの認証認可 - Qiita
複数のクラウドサービスを利用している(マルチクラウド)など、単純には閉域網を構築できない環境でマイクロサービスアーキテクチャを採用する場合には、サービス間の認証認可が必要となる。この場合のサービス間の認証認可方式を決める参考となる、OSSやSaaS、Webサービスで採用方式ついて整理した。 Istio サービスメッシュの実装として有名なIstioではサービス間通信を以下のように制御できる。 Istioの認証認可では認証主体がService Identityというモデルで抽象化され、KubernatesやIstioで定義するService Accountに加えて、GCP/AWSのIAMアカウントやオンプレミスの既存IDなどをService Identityとして扱うことができる。 サービス間の認証 (Peer Authentication) は、各サービス (Pod) に設置するSideca
社内で毎週公開してるセキュリティコンテンツ3ヶ月分を公開します【2020年4月〜7月】 - Qiita
はじめに 普段はWeb開発を生業としている おりばー(@oliver_diary) です。 今年の4月から情報処理安全確保支援士として、社内のセキュリティ向上に努めているのですが、その取り組みの一つとして社内Slackに毎週セキュリティトピックを公開しています。 毎週続けて3ヶ月が経過しましたが、社内だけに閉じておくのは勿体ないと思ったので、記事としてまとめて投稿します。みなさんのセキュリティ意識向上の助けになればと思います。 またセキュリティ研修用に使用したアプリケーションの記事も公開しているので、そちらも併せてご覧ください。 Gitの脆弱性(2020/04/23) みなさん、既にバージョンをあげている方もいると思いますが、Gitにとても深刻な脆弱性が発見されました。 http://www.security-next.com/114201 https://github.com/git/g
APIセキュリティのハードニング
連載3回目となる今回は、前回紹介したシステムに対する攻撃のタイプを紹介し、APIセキュリティのハードニングに則った対応策による堅牢化の手法を紹介します。
SNSや音楽ストリーミングサービスなど、個人情報を含むアカウントを管理するために使われるのが「OAuth」です。クラウドサービスを提供する「Gravitational」に勤めるVirag Mody氏が、2012年以降のバージョンであるOAuth 2.0の概要を説明しています。 Everything You Need to Know About OAuth (2.0) https://gravitational.com/blog/everything-you-need-to-know-about-oauth/ アカウントの認証においては、アカウントの所有者やFacebook、Spotifyなどのアカウントを提供するサービスなど、複数の要素が存在しており、OAuthでは下記4種類の「ロール」と呼ばれる役割を認証における各要素に対して与えるとのこと。 ・リソースオーナー:保護されたリソースへのア
社内向け勉強会で発表した内容です。 30分でと書いてありますが、実際には50分かかりました。 また時間の関係で結構省いたりしている箇所があります。 2020/07/19追記 ご指摘をいただいた箇所を多々修正いたしました。 特にOIDCとSPAの章が初版とは大幅に変更されていますのでご注意ください。 Twitter: @DddEndow
How OAuth 2.0 Works
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
セキュリティ視点からの JWT 入門 - blog of morioka12
新しい Spring Authorization Server について - Qiita
僕がつくった 70個のうちの48個のWebサービス達
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
フィッシングや情報漏洩に繋がる攻撃 オープンリダイレクトの概要と対策 | yamory Blog
Cognitoで学ぶ認証・認可 in AWS - Qiita
認証認可の情報の追い方みたいな(2020/01/10 FFTT#381)
Keycloakを用いて外部ID連携を試してみる - Qiita
ドコモ口座問題 - OAuth.jp
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
The Wondeful World of OAuth: Bug Bounty Edition
OpenIDConnect+Deviseでの認証クライアントの実装 - ANDPAD Tech Blog
WEBアプリケーションのJWT認証まとめ - Qiita
認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife
ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
OAuth 2.1 の標準化が進められています - Qiita
OAuth vs SAML vs OpenID Connect vs SSO それぞれの違い。
Token authentication requirements for API and Git operations
情シスがなんで社内システムにIdPというかSAMLを導入した方がいいのか【一部訂正しました】|kobaso
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
SNSなどでアクセス権限を与えるために利用される「OAuth 2.0」はどのように動作しているのか?
30分でOpenID Connect完全に理解したと言えるようになる勉強会