AIイラストが理解る!StableDiffusion超入門【2024年最新版】A1111、Forge対応|賢木イオ @studiomasakaki
AIイラストが理解る!StableDiffusion超入門【2024年最新版】A1111、Forge対応 こんにちは、2022年10月からAIイラストの技術解説記事を連載してます、賢木イオです。この記事は、これまでFANBOXで検証してきた120本(約70万文字)を超える記事をもとに、2024年春現在、画像生成を今から最短距離で学ぶための必要情報をまとめたメインコンテンツです。 これから画像生成を学びたい初心者の方や、手描きイラストにAI技術を取り入れてみたい方が最初に読む記事として、必要知識が網羅的に備わるよう解説しています。素敵なイラストを思い通りに生成するために覚えるべきことを紹介しつつ、つまずきやすいポイントや参照すべき過去記事、やってはいけないことなどを紹介していますので、最初にこの記事から読んでいただくとスムーズに理解できるはずです。 解説役は更木ミナちゃんです。よろしくお願い
【無料】台湾で収録された自然環境音ライブラリ、99Sounds「Nature Sounds」無償配布開始! | Computer Music Japan
Nature Soundsには、ロイヤリティーフリーのネイチャー・フィールド・レコーディングが以下のカテゴリーで収録されています: 動物、森、雨、水、風。 最も人気のあるRain SoundsとWater Soundsライブラリに追加するのに最適な音源です。新しいNature Soundsは、よりバラエティに富んだサウンドを提供し、サウンドデザイン、映画、ソーシャルメディア、音楽制作に最適です。 Free To Use Soundsの友人が台湾で録音し、99Soundsの訪問者に無料でダウンロード提供しています。 Free To Use Soundsのウェブサイトでは、世界中の様々な場所で録音されたフィールドレコーディングをご覧いただけます。 Nature Soundsには、24ビットWAVフォーマット(192kHz、ステレオ)の音声が83曲収録されています。 ダウンロードサイズは2.9G
ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっていま「した」。問い合わせをさせていただき、対応いただきました。 これまでもQiitaなどで同様の実装例が紹介されていた際にはコメントさせていただいていたものですので、アンチパターンの紹介記事として読んでいただければと思います。 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取ったメールアドレス([email protected])が設定される 次回から「Googleアカウントでログイン」をすると、Googleから受け取ったメールアドレスでユーザーを参照 試しに、次のような流れで動作を確認してみます。 「Googleアカウントでログイン」でアカウント作成([email protected]) 「メールアドレス変更」
2023/10/05 Offersさんのイベントでの資料です。 https://offers.connpass.com/event/295782/ イベント後の満足度アンケート(5点満点)の結果は以下になります。 5点: 49% 4点: 39% 3点: 8% 2点: 4% こちらのスライドの内容は以下の本の抜粋になります。デモの内容、このスライドでは触れていないことについてご興味ある場合は以下の本をご参照ください。 https://authya.booth.pm/items/1296585 https://authya.booth.pm/items/1550861 本発表で扱っていないセキュリティに関しては以下の本がおすすめです。 https://authya.booth.pm/items/1877818 本の評判 https://togetter.com/li/1477483
JWTセキュリティ入門
SECCON Beginners Live 2023「JWTセキュリティ入門」の発表資料です。
アマゾンは2025年春、「ふるさと納税」事業に参入するとの報道された。 REUTERS/Brendan McDermid./File Photo ふるさと納税にアマゾンが2025年春にも参入するとの報道を受け、ふるさと納税制度に対する懸念が広がっている。 ふるさと納税の大手ポータルサイトとしては、楽天ふるさと納税、ふるさとチョイス、さとふる、ふるなびなどが知られている。 自治体の返礼品を紹介しているポータルサイトは、サービスによって異なるが寄付金のうち「10%程度」を手数料として寄付先の自治体から徴収している。一方でアマゾンは手数料を大幅に引き下げたプランを検討しているという。
ポエム特化のZenn2との噂の「しずかなインターネット」を使いはじめたので、ユーザーとしてどんな技術が使われているのかを確認していく。 sizu.me おもむろにbuiltwith.comにかけてみる。 builtwith.com ここで分かる情報はブラウザのDevTools眺めてても得られるのであまり収穫はない。 前段にCloudflareのCDNサーバーがいて Next.jsで生成されたレスポンスを返している ことがわかる。 この時点ではキャッシュのみCloudflareなのか、Pages/WorkersでNext.jsのSSRごと動かしているのかは判断できない。 認証 Set-Cookie: __Secure-next-auth.session-token=が含まれているのでNextAuth.jsを使っているのが分かる。 next-auth.js.org Emailでサインアップする
マルチテナントの実現におけるDB設計とRLS / Utilizing RSL in multi-tenancy
# 実装の参考資料 - https://soudai.hatenablog.com/entry/2022/11/11/110825 # 類似の登壇内容の動画 - https://www.youtube.com/watch?v=PXy6I-AeI-I
APIトークン認証の論理設計
SPAやモバイルアプリから利用するAPIを開発する際の、トークン認証のお話です。 どの認証ライブラリを使うべきという話ではなく、トークン認証の論理的な設計について考察します。 私自身も結論が出ていないので、色んな意見が聞けると嬉しいです。 出発点 ユーザテーブルにアクセストークンを持つのが最も安直な発想だと思います。 ログイン成功時にアクセストークンを発行し、該当ユーザレコードにセット。 同時に有効期限もセットします。 認証時には、アクセストークンが存在し有効期限内であれば、認証を通過させ、 そうでなければ認証失敗とします。 ログアウト時には、該当ユーザレコードのアクセストークンを空にします。 発行日時を持ち、システム内に定義された有効期間をもとに、認証時に計算する方法もあると思います。 Laravel Sanctum 等はそういう実装です(しかもデフォルトでは有効期限なし)。 有効かどう
JSON Canvas
An open file format for infinite canvas data. Infinite canvas tools are a way to view and organize information spatially, like a digital whiteboard. Infinite canvases encourage freedom and exploration, and have become a popular interface pattern across many apps. The JSON Canvas format was created to provide longevity, readability, interoperability, and extensibility to data created with infinite
こんにちは。アドカレ12/24の記事を簡単にではありますが書かせていただきました。(25日のポストで遅刻ですが) Digital Identity技術勉強会 #iddanceのカレンダー | Advent Calendar 2023 - Qiita はじめに 本日のテーマ:思わず天を仰いでしまうID関連システムトラブル 本日のテーマは、みんな大好き「トラブル」の話です。CIAM(Consumer Identity and Access Management)領域のさまざまなシステムにさまざまな立場で関わり、さまざまなトラブルに遭遇してきた経験を踏まえて、クリスマスの合間の気楽な読み物として記載しましたので、一息ついていただければ幸いです。 今回はトラブルの中でも思わず「天を仰いでしまう」激ヤバトラブルにフォーカスして、私的ランキング形式でお届けしたいと思います。 天を仰ぐトラブルとは? 私
Note 本記事は、2018 年公開の以下の Blog の内容が、現在の機能/技術にマッチしない内容になってきたことを踏まえ、2023 年現在の機能/技術を元に改めて考え方をおまとめしたものとなります。以前に公開した Azure AD が発行するトークンの有効期間について (2018 年公開) の記事は参考のためそのまま残し、新しく本記事を執筆しました。 こんにちは、Azure & Identity サポートの金森です。 Azure AD (AAD) は、Microsoft 365 をはじめ様々なクラウド サービスの認証基盤 (Identity Provider / IdP) として利用されています。その重要な機能としてユーザーの認証が完了したら、アプリケーションに対してトークンを発行するというものがあります。あるサービス (Teams や Exchange Online、他に Azure
EXCEL使える人が効率化しても、わからない人に数字直入れで破壊される問題→「全ロック」「いっそ見せない」うまくいった対策色々
アルマ🍤🍤 @lellot01 SUM関数がトレンドになってるけど、エクセルできる人間が業務効率化の為にエクセルでこことここだけを入力したら全て自動的に出るよ、という表を作るとするだろ。んで、担当者に渡す。すると、何故か全て数式が消えて直接数字が入っている状態になっているということがよくある。 2024-03-10 14:19:59 アルマ🍤🍤 @lellot01 こことここだけ入力してくださいとかいてあるにもかかわらずだ。そして「数字を入力しても入ってる数字が違うんですけど!あなた何やったの!?」って逆切れされる。見ると数式が全部潰れていて「なんで直入力したんですか?」って聞いても「直入力して何が悪いの?」って答えられる。これ何て現象? 2024-03-10 14:19:59
CSSでif~else文が使えたら、と思ったことはありませんか? もちろんifとかelseはCSSにはありませんが、CSSだけでif~else文と同じようにスタイルを設定できます。 CSSでif~else文を実現するには...記事の続きを読む
症状検索エンジン「ユビー」 では、ローンチ当初から Firebase Auth (GCP Identity Platform) を使っていましたが、OIDCに準拠した内製の認証認可基盤に移行しました。 認証認可基盤そのものは m_mizutani と nerocrux と toshi0607(退職済) が作ってくれたため、僕は移行のみを担当しました。 結果として、強制ログアウトなし・無停止でビジネス影響を出さずに、年間1000万円以上のコスト削減に成功しました[1]。その移行プロセスについて紹介します。認証認可基盤そのものの紹介はあまりしません。 移行した理由 大量の匿名アカウント ユビーでは、アクセスした全ユーザーに対して自動的に匿名アカウントを発行しています。これにより、ユーザーがアカウント登録しているかどうかに関わらず、同じID体系で透過的に履歴情報等を扱うことができます。アカウント
GitLabで1クリックアカウント乗っ取りが可能だった脆弱性から学ぶ、OpenID Connect実装の注意点 - Flatt Security Blog
はじめに こんにちは。株式会社Flatt Securityセキュリティエンジニアの森(@ei01241)です。 最近は認証や認可に際してOpenID Connectを使うWebサービスが増えていると思います。「Googleアカウント/Twitter/Facebookでログイン」などのUIはあらゆるサービスで見かけると思います。しかし、OpenID Connectの仕様をよく理解せずに不適切な実装を行うと脆弱性を埋め込むことがあります。 そこで、突然ですがクイズです。以下のTweetをご覧ください。 ⚡️突然ですがクイズです!⚡️ 以下の画面はOAuth 2.0 Best Practice上は推奨されないような実装になっており、潜在的リスクがあります。https://t.co/bXGWktj5fx どのようなリスクが潜んでいるか、ぜひ考えてみてください。このリスクを用いた攻撃についての解説記
「Tailwind CSS実践入門」出版記念イベントの基調講演で使用したスライドです。 イベント詳細 → https://pixiv.connpass.com/event/310073/ 書籍 → https://gihyo.jp/book/2024/978-4-297-13943-8
Auth.js v5ではじめる本格認証入門
Next.js 14 / Auth.js v5 / Prisma / Planet Scale / shadcn/ui / Tailwind CSS を用いた認証・認可をハンズオン形式で学びます。
Slackで動くChatGPTのチャットボットをGoogle Apps Script(GAS)でサクッと作ってみる
Slackで動くChatGPTのチャットボットを作りたい 本記事では、Slackで下記仕様を実現できるChatGPTのチャットボットをGoogle Apps Script(GAS)でサクッと作成していきます。 botが所属するSlackのチャンネル内でメンションされると、スレッドで返信する botとのダイレクトメッセージの場合は、メンション無しでもスレッドで返信する botが参加しているスレッド内でのメッセージには、メンション無しでも(スレッド内の会話内容を読み取った上で)返信する また、下記項目も自由に設定することができます。何でも明るく回答してくれる社内のアイドル的なbotを作ってみるのも良いかもしれません。 botのアイコン、振る舞い(人格・役割など)の設定 gpt-3.5-turboやgpt-3.5-turbo-16kなどのGPTモデル設定 今回のbotは、非エンジニアの方でも作成
コスパ良すぎ。デルの7.3万円ノートPC、大学生みんな買うべきじゃない?2024.03.13 11:0095,324 小暮ひさのり これ、絶対お買い得だと思うの。 間もなく4月。新生活に備えてノートPCを買わねば…。みたいに考えている人や保護者の皆さんも多いと思います。じゃあ、どれを買えばいいの? となりますよね。まさにその問題を投げかけられました。 発端は僕の馴染みのコンビニ店員のお姉さんから「大学用のPCを探しているんですが、予算10万円でなんとかなりますかねー?」と聞かれたこと。 その時は「大学4年間まともに使おうと思ったら、15万円くらいからですかねぇ」と返しました。僕的には、快適なライン(メモリ16GB・ストレージ512GB)を満たすPCは、やっぱり15万円からという認識があったんです。 …が。その後気になって調べてみたら、すげえコスパ良いPC見つけちゃった。DELL(デル)です
Design System 1.4.1 | Figma
デジタル庁サービスデザインユニットでは、一貫したデザインや操作性でウェブサイトやアプリを提供するための仕組み「デザインシステム」の構築に取り組んでいます。どなたでも構築中のデザインシステムのデザインデータを閲覧することができます。 デザインシステムについての詳細や更新履歴はデジタル庁ウェブサイトをご覧ください。 ※Figma Communityにて公開中のデータは、Figma Communityの規定によりCC BY 4.0のライセンスが表記されます。ただし、このファイル内のイラストレーション・アイコン素材に関してはデジタル庁ウェブサイトに掲載の「イラストレーション・アイコン素材利用...
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript)
【NextAuth.js 入門】認証機能から認証情報によるページの表示制御を学ぶ(Next.js & Typescript) アプリケーションを開発するにあたって、避けて通れないのが認証機能の実装です。 本書籍では、NextAuth.js を使って Next.js で作成したアプリケーションに認証機能を実装していきます。さらに、認証情報を使って、表示するページの制御も行います。 認証情報によるページの表示制御にはいくつか方法がありますが、本書籍では NextPage 型を拡張した CustomNextPage 型を作成することによって、ページの表示制御を実現します。 一緒に NextAuth.js による認証機能を学んでいきましょう。
Google Cloud の IDaaS「Identity Platform」で作る、さまざまな認証パターン
Identity Platform を使うと、さまざまな認証パターンが構築できる! この記事は2023年10月6日に行われたナレッジワークさん主催のイベント「Encraft #7 AppDev with Google Cloud」で発表したセッションの解説記事です。現地でご参加いただいた皆さん、オンラインでご視聴いただいた皆さん、ありがとうございました! 私のセッションでは Identity Platform を使ったさまざまな認証パターンについてご紹介しました。セッション後、いくつかのご質問や「こんなパターンもあるよ!」というコメントもいただきました(ありがとうございます!)。この記事では、セッション内でご紹介した内容に加え、別解、または発展系とも言えるいくつかのパターンについてもご紹介します。 Identity Platform とは まずはこの記事でメインで扱う Identity P
フルスクラッチして理解するOpenID Connect (1) 認可エンドポイント編 - エムスリーテックブログ
こんにちは。デジカルチームの末永(asmsuechan)です。 この記事では、OpenID Connect の ID Provider を標準ライブラリ縛りでフルスクラッチすることで OpenID Connect の仕様を理解することを目指します。実装言語は TypeScript です。 記事のボリュームを減らすため、OpenID Connect の全ての仕様を網羅した実装はせず、よく使われる一部の仕様のみをピックアップして実装します。この記事は全4回中の第1回となります。 なお、ここで実装する ID Provider は弊社内で使われているものではなく、筆者が趣味として作ったものです。ですので本番環境で使用されることを想定したものではありません。なんなら私は ID Provider を運用する仕事もしておりません。 1 OAuth 2.0 と OpenID Connect 1.1 用語の
Prompt library
Explore optimized prompts for a breadth of business and personal tasks. User-submitted prompts have dark backgrounds with light colored icons (currently, there are none). You can submit prompts via our prompt submission form.
NextAuth (Auth.js) で認証させているWebアプリをPlaywrightなどでE2Eテストする際に、認証をどうやってさせるか、あるいは回避するかが悩ましい部分です。 もし採用している認証方式が、単純なID/パスワード認証であればテストユーザを作成し、Playwrightにパスワードを入力させれば認証できるので問題はありません。 しかし、Google認証などの外部のプロバイダを経由するような場合は、E2Eテストをすることが難しくなります。そこでこの記事では、NextAuthの認証済み状態をPlaywrightで再現させる方法を紹介します。 やり方は大きく2つ NextAuthの設定に依存してやり方は大きく2つあります。 セッションデータを database で管理している場合 セッションデータを jwt で管理している場合 データベースの場合 セッションデータをデータベースに
GitHub - francoismichel/ssh3: SSH3: faster and rich secure shell using HTTP/3, checkout our article here: https://arxiv.org/abs/2312.08396 and our Internet-Draft: https://datatracker.ietf.org/doc/draft-michel-ssh3/
SSH3 is a complete revisit of the SSH protocol, mapping its semantics on top of the HTTP mechanisms. It comes from our research work and we (researchers) recently proposed it as an Internet-Draft (draft-michel-ssh3-00). In a nutshell, SSH3 uses QUIC+TLS1.3 for secure channel establishment and the HTTP Authorization mechanisms for user authentication. Among others, SSH3 allows the following improve
カイロスロケットは、和歌山県にある専用の射場「スペースポート紀伊」から13日の午前11時1分に打ち上げられた。しかしリフトオフの約5秒後に空中で爆発。射場の敷地内に破片が降り注ぎ、一部で火災も発生した。 その後、行われた記者会見では、発射後に何らかの異常が発生し、ロケットの「飛行中断システム」が爆破したという見方を明らかにした。「リフトオフすると飛行経路や各部の正常/異常をコンピュータが判断する。逸脱する場合には落下しても安全な場所で中断する」仕組みだという。 結果としてミッションは完遂できなかった。しかし豊田社長は「スペースワンとしては“失敗”という言葉は使いません。全ては今後の挑戦の糧。会社の文化です」と話す。そして「2020年代半ばまでに年間20機の打ち上げ」という目標を変えるつもりは「全くない」としている。 スペースワンは研究機関ではなく、株主や顧客がいる営利企業だ。現在は投資フェ
攻撃者はいかにしてフィッシングサイトを隠すか?(インターンシップ体験記) - NTT Communications Engineers' Blog
はじめに こんにちは、ドコモグループのサマーインターンシップ2023に参加した河井です。 普段は大学院で暗号理論の研究をしています。 この記事では、私がこのインターンシップで取り組んだことについて紹介します。 セキュリティ系インターンシップに興味のある人の参考になれば幸いです。 はじめに NA4Sec PJの紹介 インターンシップ概要 脅威検証:攻撃インフラの秘匿 セキュリティに関するクローキングとは サーバ側のクローキングの実装 IPアドレスによるクローキング RefererとUser-Agentによるクローキング 脅威検証:攻撃インフラの構築 OAuth 2.0のデバイス認可付与(RFC8628)とは 認可フローを悪用した攻撃 フィッシング攻撃の検証 おわりに 参考文献 NA4Sec PJの紹介 まずは、私がお世話になったNA4Sec PJについて紹介します。 正式にはNetwork
こんにちは。デジカルチームの末永(asmsuechan)です。この記事は「フルスクラッチして理解するOpenID Connect」の全4記事中の3記事目です。前回はこちら。 www.m3tech.blog 9 JWT の実装 9.1 JWT概説 9.2 OpenID Connect の JWT 9.3 ヘッダーとペイロードの実装 9.4 署名の実装 公開鍵と秘密鍵を生成する 署名処理を作る 10 JWKS URI の実装 (GET /openid-connect/jwks) 11 RelyingParty で ID トークンの検証をする 12 OpenID Connect Discovery エンドポイントの実装 (GET /openid-connect/.well-known/openid-configuration) まとめ We're hiring 今回は全4回中の第3回目です。 (
偽の ID (識別子) のアンチパターン
こんにちは、Azure Identity サポート チームの 高田 です。 本記事は、2023 年 6 月 20 日に米国の Azure Active Directory Identity Blog で公開された The False Identifier Anti-pattern を意訳したものになります。ご不明点等ございましたらサポート チームまでお問い合わせください。 本日は、ID の世界における危険なアンチパターンである 偽の ID (識別子) のアンチパターン を取り上げます。アンチパターン とは、繰り返し発生する問題に対する一般的な対応策のことで、こういった問題は多くが悪い結果をもたらし、想定と反対の結果をもたらすリスクとなるものです。パスワードのアンチパターン も聞いたことがあるかもしれません。本日お話しする内容は、もしかしたらより危険なパターンかもしれません。 偽の ID (
M3 MacBook Airレビュー。性能向上だけでなく細部も確実なアップデート(本田雅一) | テクノエッジ TechnoEdge
プロセッサの進化だけではない細かなアップデートM2を搭載したMacBook Airは大胆に設計変更された最初のモデルとは思えないほど、高い完成度の仕上がりだった。しかし、M3 MacBook Airは、その高い完成度にさらに磨きをかけて、見た目はほとんど同じながら、細かな使い勝手や満足感を高める工夫がされている。 M3搭載が大きな要素として語られる面がある今回のアップデートだが、実はそうした細かなアップデートこそが、今回の新製品における1番の魅力だと思う。 例えば、人気モデルであるがゆえに可能なカラーバリエーションの展開だが、その中でもミッドナイトの仕上がりに関しては、今回細かなチューニングが行われた。 M2 MacBook Airで導入されたミッドナイトは、久々に黒に近いMacBookとして発売当時から人気を誇っていたが、一部には指紋が目立ちやすいという不満の声があった。しかし今回は新し
パスキー対応における2つの段階と必要な機能
パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る! と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。ということで、認証を必要とするサービスもユーザーも、パスキーにより理想的な状態となるまでには段階というものがあり、 大人の階段と同じで やるべきことがあります。そのあたりを理解することで、一喜一憂せずにやっていきましょう。 2つの段階 既存の認証方式に加えてパスキーによる認証が利用可能 : 過渡期ってやつでしょうか。イマココ パスキーのみが利用可能 : 我々が望んでいる世界や! あとはその前の なんもしてない段階 です。 そんなに新しい話でもないでしょう。 段階を進めるために必要な対応
GitHub OAuthアプリを使ったスパム攻撃を停止させる
2024年2月21日ごろから、"Github Jobs"を名乗るGitHubの開発者ポジションをオファーするスパム攻撃が発生しています。 仕組みとしては、GitHubのIssueやPRでmentionをするとメールの通知が届くのを利用して、コメントでスパムメッセージを送りつけるものです。 以前からこのスパムは存在していましたが、今回おきた問題はGitHub OAuth Appを用意して、スパムコメントで24時間以内にここから申請してくださいという感じの誘導して、OAuthアプリの認証を行わせる攻撃が含まれていました。 このスパムOAuthアプリは、GitHubのprivateリポジトリの読み取りやコメントの読み書きなどの権限も持っていたため、このスパムアプリを認可してしまうと、その人のアカウントでさらにスパムコメントが増えるという問題が起きていました。 詳細は、次のGitHub Discu
Google幹部がAppleを批判 「ユーザーをiOSから離脱しづらくしている」 サイドローディングにも言及(1/2 ページ) Googleは2024年3月7日、AndroidとGoogle Playの説明会を開催した。来日中のGoogle政府渉外・公共政策担当バイスプレジデントであるウィルソン・ホワイト(Wilson White)氏が登壇し、AndroidとGoogle Playの歴史や現在のエコシステムを語った。AppleのiOSを批判するひと幕もあった。 【更新:2024年3月10日11時45分 より正確な内容になるよう、タイトルの表現を一部変更いたしました。】 AndroidはオープンなモバイルOS ホワイト氏はまず、Androidを「非常に広く普及しているOSである」と前置きし、「オープンソースのプラットフォームであり、そしてオープンなモバイルOSである」と紹介した。 Andro
GitHub Actions から AWS へのアクセスに利用している OpenID Connect ID Provider の thumbprint について調査した - ROUTE06 Tech Blog
ROUTE06 でエンジニアリングマネージャ兼ソフトウェアエンジニアとして働いております海老沢 (@satococoa) と申します。 先日発生した GitHub Actions と AWS の OpenID Connect 連携におけるトラブルに関して調査を行い、対応方針を策定した件を共有したいと思います。 [2023/07/10 追記] Thumbprint を明示的にユーザ側で設定しなくて良いように、AWS 側で対応されたそうです。 github.com 当面 Terraform のモジュール的には必須入力のままですが、任意の文字列で良いそうです。 (いずれ入力も不要になるのかと思います。) https://github.com/aws-actions/configure-aws-credentials/issues/357#issuecomment-1626357333 The A
はじめに この記事はAuth.jsがどのようなものか,どのように実装すればいいかなどをドキュメントを要約しながら紹介するものです. Auth.jsは2024/02/19現在ドキュメント整備中です.現在のドキュメントとは内容が異なる場合があります.この記事では旧ドキュメントの内容も交えて解説しています. Auth.jsとは? (https://authjs.dev/ より) Auth.js is a complete open-source authentication solution for web applications. Check out the live demos of Auth.js in action: Next.js SvelteKit SolidStart Auth.jsはwebアプリのための完全なオープンソース認証ソリューションです.その特徴として, 簡単に OAu
ritouです。 こちらの記事の続きです。 前回の記事の振り返り 3行でまとめると まずは単一アプリケーションのID管理について解像度を上げてみよう Webアプリケーションフレームワークを使って新規登録から退会までざっくり動作確認してから、色々いじったり調べてみるのが良いよ セキュリティ関連の機能とか、新規登録時の身元確認、ログイン方法を拡張してみよう といったところです。個人的にはこれは全エンジニア向けの研修であってもいいぐらいのものだと思います。 今回の内容 タイトルにある通り、複数のアプリケーションが関わる部分に入っていきましょう。 というか、OAuthとOIDCやりたいんですよね?え?SAML? まずはID連携のベーシックな部分に触れていきましょう。 プロトコルは混ざっちゃっていますが、順番としてはこんなのはどうでしょう。 OAuth 2.0のClientとしての機能を設計/実装す
JWTの検証プログラムに対する有名な攻撃手法にalg=none攻撃があります。JWTのalgクレーム(署名アルゴリズム)としてnone(署名なし)を指定することにより、署名を回避して、JWTのクレームを改ざんする手法ですが、手法の解説は多いもの、脆弱なスクリプトのサンプルが少ないような気がしています。そこで、node.js用の著名なJWTライブラリであるjsonwebtokenを使った簡単なサンプルにより、alg=none攻撃の解説を試みます。 なお、jsonwebtokenの最新版では今回紹介した攻撃方法は対策されているため、以下のサンプルでは古いjsonwebtokenを使っています。 alg=none攻撃とは よく知られているように、JWTは以下のように3つのパートからなり、それぞれのパートはBase64URLエンコードされています。ヘッダとペイロードはエンコード前はJSON形式です
Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog
こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato(@yusukesatoo06)です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセスと、そこで得た学びや気づきを共有できればと思います。 1. OAuthとは 1-1. OAuthの概要 1-2. OAuthのフロー 2. OAuthが必要な背景 2-1. 外部サービス連携 2-2. 他の連携方式との比較 3. OAuthの提供 3-1. 提供方式 3-2. 今回の選定方式 4. OAuthサーバの構築 4-1. Authleteについて 4-2. 必要なエンドポイント 4-3. システム構成 5. 開発を通じて 5-1. 開発を通じた
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
メールアドレスをキーにしてID連携を行う設計の危うさ|ritou
仕様が読めるようになるOAuth2.0、OpenID Connect 入門
「外資にやらせていいのか」ふるさと納税、アマゾン参入に懸念の声
「しずかなインターネット」の技術スタックを調べる - laiso
思わず天を仰いでしまうID関連システムトラブル - =kthrtty/(+blog)
Azure AD が発行するトークンの有効期間と考え方 (2023 年版)
CSSだけでif~else文と同じことができる! しかもすべてのブラウザでサポートされています
Firebase Authから内製認証基盤に無停止移行して年間1000万円以上削減した
『Tailwind CSS実践入門』 出版記念基調講演
コスパ良すぎ。デルの7.3万円ノートPC、大学生みんな買うべきじゃない?
E2EテストでNextAuth認証(OAuthなど)を突破する方法
カイロスロケット爆発 痛手を負っても「失敗」といわず、目標も変えないスペースワンの事情
フルスクラッチして理解するOpenID Connect (3) JWT編 - エムスリーテックブログ
Google幹部がAppleを批判 「ユーザーをiOSから離脱しづらくしている」 サイドローディングにも言及
Auth.jsを完全に理解する (基本編) #1 - Qiita
ID周りをやりたいエンジニアにすすめたい学習ステップ(2) : 複数アプリケーションが絡むID管理
node-jsonwebtokenで学ぶJWTのalg=none攻撃 - Qiita