Hatena Blog Tags
はてなブログ トップ
jwt
このタグでブログを書く

jwt

このタグの解説についてこの解説文は、すでに終了したサービス「はてなキーワード」内で有志のユーザーが作成・編集した内容に基づいています。その正確性や網羅性をはてなが保証するものではありません。問題のある記述を発見した場合には、お問い合わせフォームよりご連絡ください。
かもメモ9 か月前

Flask Flask-JWT-Extended がよしなに返してくれるエラーをカスタマイズしたい

Flask で書かれた API を使ったフロントの開発をしていました。 JWT が unauthorized になった時のエラーだけ他のエラーと形式が異なり、エラーコードも 401 で他のエラーと被ってしまっていて、フロントでエラーハンドリングが面倒なことになってしまっていたので、API 側に越境してエラー関連をカスタマイズしたメモ。 ※ Python はなんもわからんマンが書いています。ご了承ください。 Flask-JWT-Extended がよしなにエラーを返すようになっていた。 API 側の実装を見にいくと、Flask-JWT-Extended というライブラリが使われており、API に…

#Python#Flask

ネットで話題

もっと見る
731ブックマークどうして JWT をセッションに使っちゃうわけ? - co3k.org備考 2018/09/21 22:15 追記 2018/09/20 12:10 に公開した「どうして JWT をセッションに使っちゃうわけ?」というタイトルが不適切だとご指摘をいただいています。 その意見はもっともだと思いますので、現在、適切となるようにタイトルを調整しています。 ご迷惑およびお騒がせをして大変申し訳ございません。 本文の...co3k.org
640ブックマークSPAのログイン認証のベストプラクティスがわからなかったのでわりと網羅的に研究してみた〜JWT or Session どっち?〜 - Qiitaqiita.com
432ブックマーク攻撃して学ぶJWT【ハンズオンあり】 | Money Forward Engineers' Blogmoneyforward.com
419ブックマークWebアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-webliferitou.hatenablog.com
400ブックマークセキュリティ視点からの JWT 入門 - blog of morioka12scgajge12.hatenablog.com
399ブックマークWebアプリケーションでJWTをセッションに使う際の保存先は(自分なりに説明できれば)どちらでもよいと思います - 日々量産ryozi.hatenadiary.jp
387ブックマークJWT認証、便利やん? - ブログauth0.hatenablog.com
370ブックマーク"JWT=ステートレス"から一歩踏み出すための考え方zenn.dev
316ブックマークJWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Notecreators-note.chatwork.com

関連ブログ

kako-b昨年

【60代主婦】一戸建てから市営住宅へ。引越しに向けて梱包中。だいぶ片付きました!

2階の荷物はすべて梱包完了。段ボールを下まで運んで2階はスッキリ♪ 2階の荷物は段ボールへ入れて、1階の和室へ。意外とスンナリ片付きました。 引越し料金は少しでも安くしたいので、段ボールは自分たちで運ぶことに。こちらは娘むこが手伝う予定になっているので、大助かり。 2階の部屋ともお別れ この洋室は10畳ほどで、部屋の中央にアコーデオンカーテンがついてます。部屋を半分に仕切られるので、便利でしたね。ただし、画像の正面が真西です。ということは....夏場は出窓の日差しが強烈で、部屋の中は「灼熱じごく」に変化!本当に暑かったです~😱 部屋の反対側のようす デスクトップのパソコンのみ 😅 Broad …

#WiMAX
bpeldi2oerkd8の開発日誌昨年

JWT認証を導入したAPI実装 - 自作サービスづくり10

今回もWeb開発に関する記事です。 前回はデザイン改善とSlackとの連携機能の実装を行いました。 developer-bpeldi2oerkd8.hatenablog.comここでは、ロゴの作成とSlack連携登録・編集機能を作ったため、 今回はいよいよJWT認証を導入したAPIの実装に移ります。 構成 JWTの発行 JWTの認証 APIのテスト botの実装の変更と動作確認 構成 構成は以下のようになっています。 手順としては、 /api/v1/login にアクセスし、lattendanceにJWTをリクエスト lattendance上でJWTを発行し、JSONでJWTを返す /api/…

#Web開発#JavaScript#Node.js#自作サービス#REST Client
Tech Blog昨年

CloudFront + Lambda@edge + JWTで認証フローを作りS3オブジェクトを守る

こんにちは、サーバーサイドエンジニアのiwamu(@k_iwamu)です。 CloudFrontからS3のプライベートなコンテンツへのアクセス制御はどのように管理されているでしょうか。 アクセス制御の主要な方法の1つとしては、CloudFrontの署名付きURLを作成し、一時的に権限を与える方法が挙げられるかと思います。 しかし、Lambda@edgeを用いれば、アクセス制御をプログラムでもっと柔軟に、かつCloudFront+Lambda@edgeの特性上レイテンシも少なく実装することができます。 今回は、CloudFrontは署名付きURLを使用せず、Lambda@edgeとJWTを使って…

#AWS#jwt#lambda#s3
noopableの日記2 年前

Azure AD B2CをPHPと使う (4) JWT検証について

サーバー側はAPI実装に専念し、APIではトークンの検証を行います。 Azure AD B2CをPHPと使う (2) SPAから送られてきたトークンを検証する - noopableの日記 (hatenablog.jp) という記事を先日書きましたが、現在のところJWTの検証が中心課題となります。 総合雑感 認証用のサービスとしても、提供されているSDKの品質でもAuth0が先行している感じですね。 個人的には、firebase/jwtがよいかなと思っています。 JWT検証の仕組みなど まずは、こちらの記事がわかりやすいです。 Get Started with JSON Web Tokens -…

#OAuth2
blog of morioka122 年前

セキュリティ視点からの JWT 入門

こんにちは、ISC 1年 IPFactory 所属の morioka12 です。 この記事は IPFactory Advent Calendar 2020 の10日目の分になります。 IPFactory という技術サークルについては、こちらを参照ください。 本記事の最後に記載されている余談でも IPFactory の詳細を紹介しています。 はてなブログに投稿しました #はてなブログIPFactory Advent Calendar 2020 の10日目の記事を書きました#JWT #securityセキュリティ視点からの JWT 入門 - blog of morioka12https://t.c…

#セキュリティ#jwt#入門#まとめ#Qiita
Flatt Security Blog一昨日

Webサービスにおけるマイページの仕様とセキュリティ観点

はじめに こんにちは。株式会社Flatt Security セキュリティエンジニアの石川です。 本稿では、ログイン機能をもつWebアプリケーションにおける実装上の注意を、マイページ機能から派生する機能のセキュリティ観点から記載していきます。特に、XSS(Cross-Site Scripting)やSQLインジェクションのような典型的な脆弱性と比較して語られることの少ない「仕様の脆弱性」にフォーカスしていきます。 これから述べる実装上の注意点は、実際にはマイページ機能であるかどうかに関係なく注意するべきです。 しかし、開発者の視点に立つと「これこれの機能にはどのようなセキュリティ観点があるか」と…

ONLYOFFICE’s diary7 日前

ONLYOFFICEのDrupal用コネクタがリリース!

すぐに使える無料のDrupal用統合アプリ v.1 を公開しました。投稿にオフィスファイルを挿入したり、Mediaモジュールでドキュメントの編集やコラボレーションができます。詳細はこの記事をご覧ください。

deve.K7 日前

JavaScriptでWebStorageの使用について 注意点

初学者様向けのJavaScriptでWebストレージを使用する上でのセキュリティ(安全性)などの基本的な知識を解説致します。 プロジェクト構築の過程で、権限認証のトークン、ユーザー情報、埋め込みポイントの数、スキン情報、顧客が構成した言語タイプなどの情報をローカルに保存する必要がある状況に遭遇することがよくあります。 一時的に保存して、不要なリクエストやブラウザの冗長な操作を避け、お客様の利便性を高めます。 その際に、データベースの複雑さを増すことなく、HTMLで何かを成し遂げたい場合があります。 クライアントによってローカルにデータを保存する新しい方法を提供します。 それはWebストレージと…

命名って難しい7 日前

PowerShell5.1でLINEWORKS API2.0を叩く!JWTで苦労したService Accountのアクセストークン取得編

弊社採用のLINE WORKSなのですが、今までAPI1.0を利用していたのですが、廃止予定が迫ってきたのでAPI 2.0を触りはじめました。 developers.worksmobile.com LINE WORKS API 2.0のリリースに伴い、LINE WORKS API 1.0は2023年4月30日をもって提供を終了いたします。 提供の終了前であっても、サービスの仕様変更等によりLINE WORKS API 1.0の一部が正常に利用できない場合があります。できるだけ早いLINE WORKS API 2.0への移行をご検討ください。 とのこと。 弊社はテック企業ではないので、マシンの環…

BOOK☆WALKER Tech Blog9 日前

一迅プラスのインフラ構成について

こんにちは。 メディアサービス開発部バックエンド開発グループのフサギコ(髙﨑)です。 Ruby on Railsによるバックエンドの実装運用と、AWSによるサービスインフラの設計構築を中心とした、いわゆるテックリードのような立ち位置で働いています。 本記事では株式会社一迅社さまの公式漫画連載サイトであり、ブックウォーカーが開発保守運用を担当している一迅プラスのサービスインフラの概要についてご紹介したいと思います。 もしよければ、前記事のニコニコ漫画のインフラ構成についてならびに読書メーターのインフラ構成についてもご覧ください。 一迅プラスについて 一迅プラスは株式会社一迅社さまが運営する公式漫…

r-weblife9 日前

FedCM入門 その2 ~ 現状のFedCM実装解説

おはようございます。ritouです。 前回の記事に引き続き、FedCM入門です。 ritou.hatenablog.com 何の話か 6/21(火) 19時から、OpenIDファウンデーション・ジャパン主催のイベントがあります。 openid.connpass.com 明日じゃん。 これに先立って、Federated Credential Management API(FedCM) について 非公式 の入門記事を書いています。 今回は、FedCMの現状の実装について解説します。 ID連携の課題とFedCMのアプローチ 現状のFedCM実装解説 <- 今回はこれ FedCM vs OIDC 仕様…

mongolyyのブログ9 日前

Next.js + TypeScript + NextAuth + AzureAD B2Cの組み合わせを試す

はじめに 認証基盤といえば手軽に使えるAuth0が好きですが、会社の状況によっては使えないことがあると思います。 NextAuthを使いつつ、色々なIdPを試してみようと思いますが、今回はナレッジが少なそうなAzureAD B2Cを試してみようと思います。 まずはいつもの yarn create next-app --typescript をします。 プロジェクトのディレクトリに移動し、 yarn add -D next-auth します。 Azure AD B2Cの設定 docs.microsoft.com docs.microsoft.com docs.microsoft.com をもとに…

ONLYOFFICE’s diary14 日前

お使いのアプリ内でドキュメントの共同編集を可能にする方法

前回の記事では、ONLYOFFICEを使って、ドキュメントの閲覧・編集をあらゆるWebアプリに導入する方法をご紹介しました。 今回は、強力なドキュメント共同編集機能をユーザーに提供することに焦点を当てます。共同編集の仕組みについて簡単に説明し、既存の統合アプリのコードサンプルをご提供いたます。

Pirika Developers Blog15 日前

Sign in with Apple: 2022年6月のアカウント削除機能に対する要件の適応に対応した話(リフレッシュトークンの取得とトークンの無効化)

こんにちは、開発チームの冨田です。 今日はSign in with Appleにおける、サーバー側でのリフレッシュトークンの取得と、トークンの無効化処理について書きます。 これは2022年6月から適応される新しいガイドラインにて、アカウント削除機能に対する要件が新しく定義され、それに対応するためのものです。

はまやんはまやんはまやん16 日前

WeCTF 2022 Writeups

Dino Run 恐竜で遊ぶゲームが起動する。 フラグが右下にあるようなので移動しよう。 盤面がそれほど大きくないこともあり、フラグマスに到達でき、表示されたフラグが答え Grafana Grafana v8.3.0 (914fcedb72)が使用されている 調べるとLFI脆弱性がある https://www.exploit-db.com/exploits/50581 PoCはそのまま動かさず、PoCを見ながら手動でポチポチしていたら以下でフラグが手に入った。 GET /public/plugins/state-timeline/../../../../../../../../tmp/flag…

Shikata Ga Nai18 日前

Password Reset to Admin Accessを訳してみた

Hello there, ('ω')ノ 管理者アクセスへのパスワードリセットを。 脆弱性: アカウントの乗っ取り 認証バイパス パスワードリセットの欠陥 記事: https://medium.com/techiepedia/password-reset-to-admin-access-3b2a649bdc3 APIの上でWebGUIを使用するWebアプリケーションをテストしているときに。 Authorizationヘッダに設定されたJWTトークンで承認されたAPIへの呼び出しに。 注目して。 パスワードのリセットをリクエストすると。 パスワードを更新するためのフォームへのリンクが電子メールで送…

よっちんのブログ18 日前

BCACTF 3.0 Writeup

この大会は2022/6/4 9:00(JST)~2022/6/7 9:00(JST)に開催されました。 今回もチームで参戦。結果は3850点で559チーム中47位でした。 自分で解けた問題をWriteupとして書いておきます。 Discord (misc 25) Discordに入り、#announcementsチャネルのトピックを見ると、フラグが書いてあった。 bcactf{0bL1g4T0Ry_d15C0rD_ch4Ll_5jGsnoJn} Intro 2 Pwn (binex 50) マイナスの個数でハムスターを購入し、手持ちを増やし、フラグを購入する。 $ nc bin.bcactf.…