このブログ記事では、Cognitoを使ってLaravelでシンプルな認証機能を実装する方法を紹介します。 目的 クラスメソッドタイランドの清水です。 本記事では Cognito を使って Laravel で簡単な認証機能を実装します。 認証のシーケンスは以下のようになります。 また、全体の流れを理解するために Laravel のロジックは非常に簡潔になっているので、本番環境で注意が必要な部分は ⚠️ でコメントを書いています。 前提条件・知識 AWS アカウントを作成済み IAM Role, Policy, Cloud9 の環境を作成できる権限がある 使いたいAWS アカウントのリージョンで cdk bootstrap コマンドを実行済み ローカル PC に docker, docker-compose をインストール済み 手順 まずは CDK を実行するための環境を Cloud9 で準備
※本記事は、https://www.secureworks.com/ で公開されている AZURE REDIRECT URI TAKEOVER VULNERABILITY を翻訳したもので、 2024年3月28日執筆時点の見解となります。 概要 Secureworks® Counter Threat Unit™(CTU)リサーチャーは、Azureのマルチテナントアプリケーションの脆弱性を発見しました。この脆弱性は、アプリケーションのリダイレクトURI(応答URLとも呼ばれる)に、アプリケーションには登録されているがAzureリソースには登録されていないサブドメインエントリーが含まれている場合に問題となります。リダイレクトURIのエンドポイントは認可コードフロー処理を容易にするために使用されますが、攻撃者によって、ユーザーの認証コードとIDトークンを窃取するために悪用される可能性があります。
Blueskyが新たな製品ロードマップを公開しました。公開されたロードマップでは今後数カ月間以内の目標として「DM(ダイレクトメッセージ)機能の追加」「動画投稿機能の追加」「カスタムフィードの改善」「ハラスメント防止機能の改善」「OAuth機能の提供」が掲げられています。 Product Roadmap - Bluesky https://bsky.social/about/blog/05-07-2024-product-roadmap 2024 Protocol Roadmap | Bluesky https://docs.bsky.app/blog/2024-protocol-roadmap ◆DM 記事作成ではBluesky上の投稿はすべて公開設定であり、プライベートなやり取りには適していません。新たに追加予定のDM機能では、通信内容を隠した状態で個人間のやり取りが可能となります。
Product Roadmap - Bluesky
In the past year, Bluesky has grown from 40K users to 5.6M users. We’ve made it possible to create custom algorithms, introduced community-driven moderation, and opened up federation. This has laid the foundation for a social protocol that can exist long after Bluesky the app does. What’s coming next? Over the next few months, we’ll be putting more of our energy into the application. This includes
初めての個人開発 ②実装編 - Qiita
はじめに 私は2023年10月より、内定直結型エンジニア学習プログラム「アプレンティス」に2期生として参加しています。 アプレンティスの課題としてオリジナルプロダクトを開発したので、その内容をまとめようと思います。 前回の「初めての個人開発 ①要件定義・設計編」の続きとなる「実装編」です。 目次 1.出来上がった Web アプリケーションのご紹介 2.何から手を付けるか 3.フロントエンドとバックエンドはどちらが先か 4.データベースはどこまで正規化すべきか 5.CSS 実装方法の選択 6.React Hook Form と画像の即時表示 7.Laravel Sanctum と Laravel Socialite を利用した OAuth 認証 8.ログイン情報をどのように保持するか 9.Googleマップの多重レンダリング問題 10.EC2 インスタンスのファイルシステムの拡張 11.プレ
Self-hosted GitHub Actions runners in AWS CodeBuild を試す
CodeBuild プロジェクトを使用して Webhook を設定し、GitHub ACtions ワークフローの yaml を更新して CodeBuild マシン上でホストされているセルフホストランナーを使用できる GitHub への認証は PAT か OAuth App を使う まとめというかわかったこと ※間違ってることや、こうすればいいよなどがあったらコメントください。 良かった点 セットアップは楽 ephemeral である 起動時間は EC2、Lambda 共に 1 分程度だった 個人的には十分速い マネージドイメージに加えて Docker カスタムイメージを指定可能 jobs.<job_id>.runs-on に -<image>-<image-version>-<instance-size> を追記すると、設定不要で様々なアーキテクチャのイメージを使える jobs.<job
Dropbox says hacker accessed passwords, authentication info during breach
Dropbox says hacker accessed passwords, authentication info during breach Cloud storage company Dropbox reported that a hacker breached company systems on April 24 and gained access to sensitive information like passwords and more. In a filing with the SEC on Wednesday afternoon, the company said it discovered unauthorized access to the production environment of Dropbox Sign — a company formerly k
【セキュリティ ニュース】Dropboxの電子署名サービスに不正アクセス - 顧客情報が流出(1ページ目 / 全2ページ):Security NEXT
Dropboxは、同社の電子署名サービス「Dropbox Sign(旧HelloSign)」がサイバー攻撃を受けたことを明らかにした。 同社によると、現地時間4月24日に同サービスの本番環境が侵害されたことを把握したもので、調査を行ったところ、顧客情報などもアクセスされていたことが判明したという。 具体的には、メールやユーザー名、電話番号、ハッシュ化済みパスワード、アカウント設定にくわえ、APIキー、OAuthトークン、多要素認証などの認証情報を含むデータに対してアクセスが行われていた。 同サービスを利用していない場合でも、同サービス経由で文書を受け取ったことがある場合、メールアドレスや氏名が流出したおそれがある。 攻撃者は、同サービスで利用する自動システム構成ツールにアクセスし、本番環境の操作権限を持つバックエンドのサービスアカウントを侵害。同アカウント経由で顧客のデータベースに不正アク
ごあいさつ はじめましての人ははじめまして、こんにちは!BASE BANK Divisionのフロントエンドエンジニアのがっちゃん( @gatchan0807 )です。 今回は、ここ数ヶ月の間にOIDC(OpenID Connect)という技術を使った開発を複数行い、この技術の概観を理解することができたので、OIDCの技術概要に触れつつBASE BANKの中でどのように使ったのかをご紹介しようと思います。 OIDCとは何なのか このパートでは、まずOIDCという技術について概要を紹介します。いくつかのWebページに記載されていた内容を参考にしてまとめさせて頂いているので、記事の最後に参照元のリンクを記載しておきます。 また、OIDCをはじめとした認証・認可の仕組みには様々な用語があり、自分自身も「調べれば調べるほど知らない用語が増えて、どんどんわからなくなってきた…」という経験をしたので、
Amazon Web Services ブログ 生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 本ブログは「Securing generative AI: Applying relevant security controls」を翻訳したものとなります。 本ブログは、生成 AI をセキュアにするシリーズのパート 3 です。まずは、スコーピングマトリックスについての詳細を紹介したブログ「生成 AI をセキュアにする: 生成 AI セキュリティスコーピングマトリックスの紹介」の概要から始めましょう。本ブログでは、生成 AI アプリケーションを保護するためにセキュリティコントロールを実装する際の考慮事項について説明しています。 アプリケーションをセキュアにするための最初のステップは、アプリケーションのスコープを理解することです。本シリーズのパート 1 では、アプリケーショ
SnowflakeでMicrosoft Entra IDによるSingle Sign-On及びSCIMプロビジョニングを有効化する - LayerX エンジニアブログ
こんにちは。バクラク事業部 機械学習・データ部 データグループの@civitaspoです。僕は定期的にエディタを変えるのですが、最近CursorからNeovimに移行しました。LazyVimを使ってセットアップするとシュッと使いやすい環境ができあがったので、Neovimのコミュニティ・エコシステムは素晴らしいなと感動してしまいました。Javaも普通にNeovimで書けちゃう。 さて、弊社ではSnowflake導入に向けた大規模な検証を進めています。これまで弊社ではデータウェアハウスソリューションとしてGoogle CloudのBigQueryを利用してきました。もちろんBigQueryも素晴らしいソリューションの一つですが、弊社のサービス提供環境がAWSであるという都合上、Snowflakeとは親和性が高く、またSnowflakeはBigQueryとは異なる素晴らしい機能を持ち合わせている
[AWS CDK] ALBとCognitoを使ってOktaをIdPとするSAML認証をしてみた | DevelopersIO
サクッとSAML認証を実装したい こんにちは、のんピ(@non____97)です。 皆さんサクッとSAML認証を実装したいなと思ったことはありますか? 私はあります。 自分でSAML認証のService Provider(SP)側の処理を実装するのは大変です。そのような場合はALBとCognitoを使うと簡単に行えます。 ということで実際にやってみました。今回はIdPとしてOktaを使用します。 「SAML認証ってなんやねん」や「OktaのSAMLアプリってどうやって作成すればいいんだ」、「CognitoでSAML認証ってどうやって行えばいいんだ」という方は以下ドキュメントをご覧ください。 初心者向けSAMLガイド SAMLアプリ統合を作成する | Okta ユーザープールへの SAML ID プロバイダーの追加 - Amazon Cognito また、せっかくなので以下アップデートで可能
Artificial Intelligence (AI) is transforming the way we build, debug, and optimize code, and it’s happening at an unprecedented pace. As a long-time Ruby and Rails developer, I’m participating in these developments with excitement via my startup and my new book and open-source projects. The good news I want to share is: not only will Ruby and Rails survive this AI revolution, Rubyists will pioneer
この本の概要 TCP/IP&ネットワークコマンドの解説書。『Linux×コマンド入門』(技術評論社,2021/04),『macOS×コマンド入門』(技術評論社,2020/4)の姉妹本です。 本書では,TCP/IP&ネットワークの今の基本を押さえ,ネットワークコマンドや各種ツールの基礎知識や作法を平易に解説。コマンドやWiresharkなどのツールを使って,TCP/IPのしくみ&ネットワークの基本概念を手を動かして実際の動作を見ながら学べる点が特徴です。動作確認環境としてはLinux(Ubuntu)を中心に,Windows/WSL2,macOSに対応。コマンドラインがはじめての方でも試せるようにサポートサイトも用意しました。変わる基本,変わらない基本を広く初学者の方々へ。スマートフォン,Wi-Fi,無線通信をはじめとしたコンピューターネットワークの今を気軽に体感できる1冊です。 こんな方にお
![TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]](https://cdn-ak-scissors.b.st-hatena.com/image/square/6d1c5192047941712b8532f819382ec9734cd7a2/height=288;version=1;width=512/https%3A%2F%2Fimage.gihyo.co.jp%2Fassets%2Fimages%2Fogp%2F2024%2F9784297141325.jpg)
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能
「Tailscale SSH」が正式版に到達。面倒な鍵管理が不要のSSH、VSCode拡張機能でリモートファイルも編集可能 Tailscale社は、統合的なアイデンティティ管理による鍵管理を不要にした便利なSSHを実現する「Tailscale SSH」が正式版になったことを発表しました。 Tailscale SSH is now out of beta and into general availability! Still juggling SSH keys and managing identities across remote machines? There's a better way: https://t.co/sdvnCckSYg — Tailscale (@Tailscale) March 26, 2024 TailscaleはWireGuardをベースにしたVPN Tai
Blueskyの中の人に「Blueskyの野望」「Blueskyの収益化計画」「Bluesky公式サーバーのスペック」「APIが使えなくなることはあるのか」「ジャック・ドーシーとBlueskyの関係」など今知りたいことを全部聞いてきました
2024年4月14日(日)に大阪で開催された「Bluesky Meetup in Osaka Vol.2」では、Bluesky開発チームのテクニカルアドバイザーを務めるWhy氏に対してユーザーが何でも質問できる質疑応答タイムが設けられました。さらに、質疑応答タイムの後にWhy氏に直接インタビューする機会を得られたので、GIGAZINE編集部がBlueskyについて気になっていることを時間の許す限り聞いて答えてもらいました。 Bluesky meetup in Osaka Vol.2 - connpass https://428lab.connpass.com/event/313710/ Bluesky Meetup in Osaka Vol.2の質疑応答タイムでは、ユーザーからWhy氏に対して「鍵アカウントの実装予定はありますか?」「AT Protocolに○○という機能を追加する予定はあ
Blueskyの開発者に「鍵アカウントの実装予定は?」「日本支社の設立予定は?」など何でも聞けるイベントが開催されたので行ってみたら開発者の「やることリスト」に追加されるアイデアが続々飛び出す充実のイベントでした
Bluesky開発チームに直接質問できるイベント「Bluesky Meetup in Osaka Vol.2」が2024年4月14日(日)に大阪で開催されました。イベントにはBluesky開発チームのテクニカルアドバイザーを務めるWhy氏が登壇し、ユーザーからの「こんな機能の実装予定はある?」「日本支社の設立予定は?」といった多様な質問に答えてくれました。 Bluesky meetup in Osaka Vol.2 - connpass https://428lab.connpass.com/event/313710/ ・目次 ◆1:会場はこんな感じ ◆2:Bluesky Meetup in Tokyo Vol.2のおさらい ◆3:Why氏との質疑応答 ◆4:Why氏への直撃インタビューもあり ◆1:会場はこんな感じ Bluesky MeetupはBluesky開発チームにリアルタイムで質
身分証の検証を用いた身元確認/当人認証を意識してみよう
(4/14 表記揺れなどのコメントいただいたので、少し修正、追記しました。) ritouです。 私のタイムラインによく出てくる、この辺りの話っていつになってもしっくりこない人が多いと思います。 OAuth認証👮 : アプリケーションがユーザー情報取得を提供するAPIを叩いて受け取ったユーザー識別子を使って新規登録やログインさせてはいけない。OIDCのIDTokenを使え ユーザーIDが取得できればログインさせていいのではないか IDTokenはユーザーIDを含むJWTだが、どうしてこれは良いのか デジタル庁が進めるマイナンバーカードを用いた個人向け認証アプリケーション(以下、認証スーパーアプリ)の用途 マイナンバーカードを用いた本人確認は既にいくつかの民間サービスで使われているが、ログインに使えるとはどういう事なのか デジタル庁からは スマホ用電子証明書搭載サービス という物も出ているが
Backlog APIとOpenAIを使ったタスク整理術 “情報の宝庫”を活用して、エンジニアを解き放つ Backlog APIと生成系AIで考える課題優先度 清家氏の自己紹介 清家史郎氏:よろしくお願いいたします。はじめに自己紹介をさせてください。株式会社Fusicの清家史郎と申します。今日は時間がないので、「僕とBacklog」というかたちで、Backlog歴みたいなものを話します。Fusicの入社歴と一緒で8年目です。電話では「今の会話、Backlogで書いときますね」みたいに会話しています。 そんな僕のBacklogの利用状況と、発生した課題についてBacklog APIとOpenAIによるアプローチをして、その結果みたいなところを話したいと思っています。 Backlogへの依存度状況 まずBacklogの利用状況ですが、入社して8年目です。さまざまな案件に参加してきました。結果、
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
TerraformとGitHub Actionsで複数のCloud RunをまとめてDevOpsした結果, 開発者体験がいい感じになった話. - Lean Baseball
ざっくり言うと「TerraformとGitHub ActionsでGoogle Cloudなマイクロサービスを丸っとDeployする」という話です. Infrastructure as Code(IaC)は個人開発(趣味開発)でもやっておけ 開発〜テスト〜デプロイまで一貫性を持たせるCI/CDを設計しよう 個人開発(もしくは小規模システム)でどこまでIaCとCI/CDを作り込むかはあなた次第 なお, それなりに長いブログです&専門用語やクラウドサービスの解説は必要最小限なのでそこはご了承ください. あらすじ 突然ですが, 皆さんはどのリポジトリパターンが好きですか? 「ポリレポ(Polyrepo)」パターン - マイクロサービスを構成するアプリケーションやインフラ資材を意味がある単位*1で分割してリポジトリ化する. 「モノレポ(Monorepo)」パターン - アプリケーションもインフラも
結局アルゴリズムが大事という話|shi3z
こないだ作ったメールをいい感じに要約して適当な返信文まで考えてくれるツールを「まごころメール」と名付けた。 僕は過去に書いたいろんな本で「AI時代に価値を持つのは真心と思いやり」と締めくくっていたのだが、一番真心が足りてないのは僕だったようだ。 このツール、単なるネタではなく本当に仕事のやり取りに使っている。 面白いのは、一度手動で「※この文章は人工知能が作成し、清水が確認の上送信したものです」という一文をつけたら、次からそのスレッドでは自動的にこの文章が署名のところに入るようになったこと。学習してるわけではないが、ちょっと笑ってしまった。 さて、それにつけても煩わしいのはアポイントメントである。 特に「来週どこかで時間もらえませんか?」と聞かれるのが一番面倒だ。 そこでGoogleカレンダーから自動的に予定を拾ってきて適当にいい感じの条件で空き時間を見つけるツールをClaude-3に作ら
こまけぇ話は置いておいて、BearerとSender-Constrainedの話がHTTP Cookieのところでも出てきたよというお話なのですが、ここを少し補足します。このBearer vs Sender-Constrainedという用語が一番出てくるのがOAuthの文脈です。 文字で読みたい2分間OAuth講座 : (1) The Basic Concepts (2) Bearer and Sender Constrained Tokens - r-weblife Bearer Token : 第1回で説明した地下鉄の切符のようなトークン。所持していれば使えるので、他の人が拾っても使えます。 Sender Constrained Token : 利用者を制限するトークン。飛行機の搭乗券のように、利用者が指定されている、制限されているもの。 概念はこんな感じですが、実装方法は色々なものが
DMARCレポートの可視化ダッシュボードを作りました - LIVESENSE ENGINEER BLOG
はじめに そもそもDMARCって何? Googleの発表によってDMARC対応が必要に SaaSの検討 OSSの検討・選定 構成 動作 GmailからGoogle Driveへ格納する XMLをパースしてOpenSearchに格納する Google Driveからコンテナ内にダウンロードする パースと格納 可視化 苦労した点 Gmailの仕様とparsedmarcの相性が悪い OpenSearch突然データが全部消えた 作ってみてよかったこと 今後の運用 はじめに インフラGの鈴木です。ガールズケイリンアニメことリンカイ!の放映が近くなってきましたね。 最近小倉にギャンブル旅行にいったのですが、北九州競輪には等身大パネルがありました。本気(マジ)度が伝わってきます。アニメの放映日が楽しみです。 ところで、今回はDMARCの可視化基盤を作った話をします。なかなか大変1でしたので、共有したいと
Real World HTTP 第3版
本書はHTTPに関する技術的な内容を一冊にまとめることを目的とした書籍です。HTTPが進化する道筋をたどりながら、ブラウザが内部で行っていること、サーバーとのやりとりの内容などについて、プロトコルの実例や実際の使用例などを交えながら紹介しています。さまざまな仕様や実例、またGoやJavaScriptによるコード例を紹介しながら、シンプルなHTTPアクセスやフォームの送信、キャッシュやクッキーのコントロール、SSL/TLS、Server-Sent Eventsなどの動作、また認証やメタデータ、CDNやセキュリティといったウェブ技術に関連する話題を幅広く紹介し、いま使われているHTTPという技術のリアルな姿を学びます。 第3版では、より初学者を意識した導入や、スーパーアプリなどプラットフォーム化するウェブに関する新章を追加。幅広く複雑なHTTPとウェブ技術に関する知識を整理するのに役立ち、また
フルスクラッチして理解するOpenID Connect (4) stateとnonce編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の4記事目です。前回はこちら。 www.m3tech.blog 13 state の実装 14 nonce の実装 15 まとめ 16 参考 Wre're hiring! 今回は全4回中の第4回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 13 state の実装 https://openid-foundation-japan.github.io/rfc6819.ja.html#anchor15 https://openid-foundation-japan.github.io/rfc6749.ja.html#CSRF state は OAuth 由来の仕様です。つまりアクセストーク
SRE の田中 @kenzo0107 です。 社内版 ChatGPT を構築し、社内の ChatGPT 利用を促進した話です。 社内版 ChatGPT が必要だった理由 以下要望を実現する為です。 秘匿情報をクローズドな環境で OpenAI にポストしたい 社員誰もが最新のモデルやバージョンで高精度、且つ、パフォーマンスの高い ChatGPT を利用したい 構成 - Web 版 社内 ChatGPT Web サービスは AWS に配置 ALB を会社毎に分けて Google 認証する *1 ECS から Azure API Management 経由で Azure OpenAI Service に問い合わせ API Management は Azure OpenAI Service の監査ログを取得する為に配置している *2 Azure 側ではネットワークセキュリティグループで AWS N
個人的Rails開発環境構築2024
新規でRailsプロジェクトを始める時の個人的な環境構築についてまとめる。前提とする条件等は下記。 規模: ~中規模 開発者数: 個人 利用シーン: PoC作成・スタートアップ立ち上げ・並の業務アプリ開発等 基本戦略 利用シーン的に「思い立ったらすぐアプリの開発ができる」という感じの運用がしたい。極力セットアップで悩みたくないから必要なミドルウェアなどは全部Dockerでインストールできるようにして立ち上げれば終わり、の環境を作る。その環境の中で色々とコマンドを叩いたり、rails newやrails gなどでRailsアプリを作成していく。 この辺のRailsの初期セットアップの手間を出来るだけ省きたいのでtemplateとなるリポジトリを作成し、そこからcloneしてくるだけでOKにする。 フロントエンドはReactなどを使わずをRails標準のerbとHotwireを軸に開発する。開
はじめに PyAirbyteがリリースされました。(2024/03/16時点ではBeta版なのでご注意を) PyAirbyteはExtractのコネクタ部分をPythonのライブラリとして提供してPandasに格納するという機能を提供しているらしい。 つまり、BigQueryのクライアントと合わせればExtractとLoadの部分を過疎結合にしつつ、スケジューラーでPythonを呼び出すだけのシンプルなData Injest Pipelineを作ることが可能なのでは!?ということで検証します。 個人的に考えるData Injestツールの抱える課題点 FivetranのようなSaaSを使い始める際は規約確認や、契約がとても面倒 Airbyteは契約関連の面倒な部分は無いが、運用工数が大きすぎる worker, sever, temporal, api, dbなどなど(ちゃんと拡張性を考えて
Nginx + OAuth2 Proxy + StreamlitでGoogleログイン後にStreamlitにアクセスする環境をローカルコンテナ環境で作ってみた | DevelopersIO
Nginx + OAuth2 Proxy + StreamlitでGoogleログイン後にStreamlitにアクセスする環境をローカルコンテナ環境で作ってみた こんちには。 データアナリティクス事業本部 機械学習チームの中村(nokomoro3)です。 今回は、Nginx + OAuth2 Proxy + StreamlitでGoogleログイン後にStreamlitにアクセスする環境をローカルコンテナ環境で作ってみます。 実行環境と準備 実行環境としてはWindows 10マシンを使います。 また前提としてRancher Desktopをセットアップ済みであり、Googleの認証情報作成のためにGoogle Cloudにログインできる環境を作成済みという前提で進めます。 Rancher Desktopのセットアップについては以下も参考にされてください。 Windows 11 に Ran
なぜ cloudflare-workers: 運用が楽 なぜ claude3: GPT-4 より体感性能がいい 動いてるもの /claude <prompt> で claude 3 が答えてくれるチャットボットで、 cloudflare-workers 上で動く。 ただし、AI は自分のことを FF7 のクラウドだと思い込んでいるミッドガル在住の中年男性という設定になっており、時折魔晄中毒で幻覚を見始める。 (アイコンは bing で生成させた) (最近 FF7リバースをクリアしたので...) 自分の課金で claude3 の APIキーを使って動かしてるので、一般公開はしない。代わりにソースコードは公開している。 claude3 を動かす 以下の記事を参考にした。 とりあえず課金してAPIキーを手に入れる。この課金登録フローが少々面倒だったが、調べれば出てくるのでこの記事では割愛。 トー
Firebase Authのリダイレクトログインを使っている人は今年の6月までに対応しないと大変ですよという注意喚起
公式ドキュメントに書いてあり、Firebaseからもメールなどで通知されていることではあるのですが、意外と見落としたままになっているかもしれない情報なので、啓蒙の意味も込めて記事にします。 結論 Firebase AuthのJavaScript SDKを使っている場合、今年6月までに以下のドキュメントに従った対応をしないとChrome/Edgeでリダイレクトログインが動かなくなります。 サードパーティのストレージ アクセスをブロックするブラウザで signInWithRedirect を使用する場合のベスト プラクティス 必要な対応 公式ドキュメントにある対応選択肢を、補足や注意点も含めた形で以下に焼き直してみます。 ポップアップ形式のログインでもいい場合 同一タブ内でリダイレクトしてログインする形式から、ポップアップウインドウを開いてログインする形式に切り替えましょう。 (公式ドキュメン
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の全4記事中の3記事目です。前回はこちら。 www.m3tech.blog 9 JWT の実装 9.1 JWT概説 9.2 OpenID Connect の JWT 9.3 ヘッダーとペイロードの実装 9.4 署名の実装 公開鍵と秘密鍵を生成する 署名処理を作る 10 JWKS URI の実装 (GET /openid-connect/jwks) 11 RelyingParty で ID トークンの検証をする 12 OpenID Connect Discovery エンドポイントの実装 (GET /openid-connect/.well-known/openid-configuration) まとめ We're hiring 今回は全4回中の第3回目です。 (
こんにちは、ファインディでFindy Team+(以下Team+)を開発しているEND(@aiandrox)です。 私が入社したのが2023年2月だったのですが、気がついたら1年間が過ぎていました。 せっかくなので、自分がこの1年でやったこと、感じたことを通してファインディの開発組織について知っていただけたらと思います。 1年でやったこと Team+の画面ベースで振り返る 入社から1年1ヶ月(2023/2/1~2024/2/29)のアウトプットについては以下のようになっています。 プルリク作成数:1229件(4.8件/日) コミットからオープンまでの平均時間:4.2h オープンからマージまでの平均時間:10.3h アウトプット量自体は、エンジニアの中では多めの部類だと思います。ただ、画像上部のアクティビティの推移を見るとわかる通り、とてもばらつきがあります。 開発の他にも下記業務を担当して
Microsoft says Russian hackers breached its systems, accessed source code
HomeNewsMicrosoftMicrosoft says Russian hackers breached its systems, accessed source code Microsoft says Russian hackers breached its systems, accessed source code Microsoft says the Russian 'Midnight Blizzard' hacking group recently accessed some of its internal systems and source code repositories using authentication secrets stolen during a January cyberattack. In January, Microsoft disclosed
悪意のあるURLが含まれていないかを分析するurlscan.ioやマルウェア分析ツールのHybrid Analysis、URLのセキュリティ・パフォーマンス・テクノロジー・ネットワークなどを分析するURL Scannerなど、URLが悪意のあるものか否かを調べるための無料ツールが存在しています。こういったツールに非公開のプライベートなURLが入力されており、誰でもアクセスできる状態になっていると、エンジニアのvin01さんが指摘しました。 You can not simply publicly access private secure links, can you? | Vin01’s Blog https://vin01.github.io/piptagole/security-tools/soar/urlscan/hybrid-analysis/data-leaks/urlscan.
NextAuth (Auth.js) で認証させているWebアプリをPlaywrightなどでE2Eテストする際に、認証をどうやってさせるか、あるいは回避するかが悩ましい部分です。 もし採用している認証方式が、単純なID/パスワード認証であればテストユーザを作成し、Playwrightにパスワードを入力させれば認証できるので問題はありません。 しかし、Google認証などの外部のプロバイダを経由するような場合は、E2Eテストをすることが難しくなります。そこでこの記事では、NextAuthの認証済み状態をPlaywrightで再現させる方法を紹介します。 やり方は大きく2つ NextAuthの設定に依存してやり方は大きく2つあります。 セッションデータを database で管理している場合 セッションデータを jwt で管理している場合 データベースの場合 セッションデータをデータベースに
フルスクラッチして理解するOpenID Connect (2) トークンエンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の2記事目です。前回はこちら。 www.m3tech.blog 7. トークンエンドポイントの実装(POST /openid-connect/token) 7.1 アクセストークン 例 7.2 ID トークン 例 7.3 IDトークンを返す部分を作る 7.4 アクセストークンを返す 7.5 パラメーターの検証 7.6 認可コードの検証 7.7 クライアント認証 8 イントロスペクションエンドポイントを作る(POST /openid-connect/introspect) まとめ We're hiring 今回は全4回中の第2回目です。 (1) 認可エンドポイント編 (2) トークンエンドポイント編 (3) JWT編 (4) stateとnonce編 7. トーク
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
Here is a list of common Android interview questions with detailed answers to help you prepare for the interview as an Android app developer. This article is designed to assist aspiring Android developers with a comprehensive set of interview questions, covering a wide spectrum of areas including basic programming principles, Android-specific components, design patterns, and best practices in mobi
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Cognito で Laravel の認証を実装する | DevelopersIO
AzureにおけるリダイレクトURI乗っ取りの脆弱性
Blueskyが「動画投稿」「ダイレクトメッセージ」など追加予定機能のロードマップを公開
OIDCって何なんだー?から、実際に使うまで - BASEプロダクトチームブログ
生成 AI をセキュアにする: 関連するセキュリティコントロールの適用 | Amazon Web Services
The Future of Ruby and Rails in the Age of AI
TCP/IP&ネットワークコマンド入門 ──プロトコルとインターネット、基本の力[Linux/Windows/macOS対応]
Backlog APIとOpenAIを使ったタスク整理術 “情報の宝庫”を活用して、エンジニアを解き放つ
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
TokenでもCookieでもBearer vs Sender-Constrained の概念を覚えよう|ritou
社内版 ChatGPT を構築し、社内の ChatGPT 利用を促進した話 - メドピア開発者ブログ
PyAirbyteで始める簡単Data Injest Pipeline
cloudflare-workers で動く claude3 の discord-bot を作ってみた
フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ
ファインディに入社して1年が経ちました - Findy Tech Blog
機密情報を共有するためのURLが分析ツールに入力されることで情報漏えいにつながりまくっていることが明らかに
E2EテストでNextAuth認証(OAuthなど)を突破する方法
Android: Interview Questions and Answers