jwt

このタグの解説について

この解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。

ecbeing labs（イーシービーイング・ラボ）•22日前

Tableau Cloudの埋め込みビューに対するJWTを用いたSSOの手法

はじめにどうも！ecbeing20年目のYです。今回はTableau Cloudの埋め込みビューに対してSSOするために、2022年1月に実装された連携アプリの機能を利用して実装してみました。その手法をご紹介します。 ◆(参考) Tableau Cloud ヘルプ - 直接信頼を使用して接続済みアプリを構成する https://help.tableau.com/current/online/ja-jp/connected_apps_direct.htm

#SSO#Tableau

ネットで話題

733ブックマークどうして JWT をセッションに使っちゃうわけ？ - co3k.org 備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ？」というタイトルが不適切だとご指摘をいただいています。その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。ご迷惑およびお騒がせをして大変申し訳ございません。本文の...

co3k.org

652ブックマーク SPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち？〜 - Qiita

qiita.com

430ブックマーク JWTセキュリティ入門

speakerdeck.com

423ブックマーク攻撃して学ぶJWT【ハンズオンあり】 - Money Forward Developers Blog

moneyforward-dev.jp

419ブックマーク Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

ritou.hatenablog.com

413ブックマークセキュリティ視点からの JWT 入門 - blog of morioka12

scgajge12.hatenablog.com

413ブックマーク WebアプリケーションでJWTをセッションに使う際の保存先は（自分なりに説明できれば）どちらでもよいと思います - 日々量産

ryozi.hatenadiary.jp

386ブックマーク JWT認証、便利やん？ - ブログ

auth0.hatenablog.com

383ブックマーク "JWT=ステートレス"から一歩踏み出すための考え方

zenn.dev

関連ブログ

web100tips’s blog•1ヶ月前

JWT（JSON Web Token）とは何か？仕組み・構造・使い方を徹底解説

JWT（JSON Web Token）とは何か：仕組みと使い方を完全解説 Webアプリケーションにおける認証や認可の仕組みとしてよく使われるJWT（JSON Web Token）。今回はこの技術について、基礎から実践的な活用方法、注意点や周辺知識まで1時間程度で学べるようにまとめました。 1. JWTとは？ JWT（JSON Web Token）は、JSON形式のデータを安全にやり取りするためのトークン形式です。特に、ユーザーの認証情報をサーバー間やクライアントとサーバー間で安全に伝えるために使われます。特徴自己完結型のトークン（サーバーにセッション情報を保存しなくて良い） Base64…

ELW株式会社テックブログ•5ヶ月前

JWTを理解する

ELWでエンジニアをしております。井立田です。今回はJWTとJWTを用いたセッション管理について見ていきます。 JWTとは JSON Web Tokenの略 JSON形式でデータを安全にやりとりするためのトークン電子署名によって改ざんを検知できる

ecbeing labs（イーシービーイング・ラボ）•6ヶ月前

JWTの基本のキ

はじめまして。もしくはお久しぶりです。製品開発6年目のはっちゃんです。製品開発部ではメンバーの技術力向上を目的として、さまざまな取り組みを実施しています。今回は取り組みの1つである「Tech Discovery」の活動の中でJWTについて調べる機会があったので、その内容をまとめようと思います。 Tech Discoveryは部内でメンバーを選抜し、半期で集中的に技術力向上の取り組みをしていただく企画です。調査・学習だけでなく実践も通じて、未来のecbeingを支えるアーキテクトの育成を目的としています。自分で学習した内容をアウトプットとして形にすることで、理解が深まり知識としての定着…

#jwt#認証認可#セキュリティ#JWS#Auth0

弁護士ドットコム株式会社 Creators’ blog•7ヶ月前

セッション ID を内包した JWT を PHP で実装する

この記事は弁護士ドットコム Advent Calendar 2024 の 21 日目の記事です。はじめにリーガルブレイン開発室の tsuchiya です。先日、セッション ID を JWT に内包するという記事を読みました。 "JWT=ステートレス"から一歩踏み出すための考え方上記記事では、セッション ID を内包した JWT を活用することについて紹介しています。 JWT の性質を最大限活用したもので、非常に共感できる内容でした。本記事では上記記事をうけて、セッション ID を内包した JWT をセッション Cookie として使用する処理を PHP で実装してみたので、その内…

#PHP#Session#Cookie#セッション

からんころんと技術探求•1年前

ライブラリを利用せずにTypeScriptでJWT（JSON Web Token）をデコードする

モチベーション実際のコード JSON Web Token サンプル ArrayBuffer <=> string に相互変換するための便利関数 base64UrlDecode()関数実行結果モチベーション認証基盤周りを触っていると頻出する、JWTのデコードですがライブラリのインストールが面倒なことも多いので作りました。（解説付き） ※ RFCを参照するとこのあたりはちゃんと書いています。実際のコード JSON Web Token サンプル eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6…

#Base64URL#base64URLDecode#jwt#TypeScript#JavaScript

The light of hope to the other side of the tunnel - Kotsu Kotsu To -•1年前

IDOR leads to Account Takeover with JWT Week Screet から学ぶ

ソース： medium.com 脆弱性：JWT, IDOR 訳：最初はアカウントを登録してアプリケーションにログインしようとしましたが、最初はトークンを解析しようとは考えず、他の脆弱性を探し続けて。2日後にシステムを解析しようとしたところ、次のことが判明しました。ここで私は jwt トークンを試し。これがデフォルトであるかどうかに関係なく、membrutefoce screet を試みることに興味を持って。ここで、jwt トークンが Cookie に保存されていることがわかり、応答にはユーザーのプロフィールが表示されていることがわかり。jwt のスクリプトを見つけることができれば、IDOR…

#IDOR

The light of hope to the other side of the tunnel - Kotsu Kotsu To -•1年前

Bypassing 2FA: My Unforgettable Experience から学ぶ

ソース： medium.com 脆弱性：JWT, OTP 訳：対象者について：ターゲットの名前を明らかにすることは許可されていませんが、これはコーディングなしでモバイルアプリケーションを作成できるインドの人気 Web サイトです。私は偵察ではなく、メインのアプリケーションに集中しました。そこで、その Web サイトでアカウントを作成し、XSS、IDOR、SSRF などのバグを探し始めましたが、残念ながら見つかりませんでした。実際の問題: バグが見つからず諦めかけていたところ、2FAを有効にするオプションが表示されたので「2FAに関連する問題がないか確認してみよう」と思い、Googl…

#OTP

The light of hope to the other side of the tunnel - Kotsu Kotsu To -•1年前

Exploiting JWT to Account Takeover から学ぶ

ソース： medium.com 脆弱性：JWT 訳： JWTとは何ですか? 安全に送信するために使用されるトークンと単純に理解できますこれは、関係者間で情報を JSON オブジェクトとしてにも使用されます。これは認可。現時点で知っておく必要があるのはこれだけです。定義をさらに詳しく知りたい場合に備えて、この記事の詳細へのリンクを提供します。 JWT トークンはどのように見えるのでしょうか? JWT は次の構造に従います:- Base64(Header).Base64(Data).Base64(Signature). JWT are storage mechanism for dat…

The light of hope to the other side of the tunnel - Kotsu Kotsu To -•1年前

How I was able to get account takeover via IDOR form JWT から学ぶ

ソース： medium.com 脆弱性：JWT、IDOR、アカウントの乗っ取り訳：プラットフォームで BBP の脆弱性を探し始めました。プラットフォーム名が「redirect.com」だったとします。 JSON Web Token (JWT) を使用している Web アプリケーションを確認した後、ATO を取得しようとしました。アカウントを作成してすべての機能をテストすることにしました。最初に、「firstName」フィールドに XSS ペイロードを入力し、他のフィールドに入力することで脆弱性を悪用しようとしました。 Firefox ブラウザでログインしたときは何も起こらず、プラット…

#ATO#IDOR