Posted inセキュリティ
パスワードはもう不要:パスキー(WebAuthn)実装の実践ガイド
脆弱なパスワードから脱却しましょう。本ガイドでは、フィッシング耐性を持つパスキーをWebアプリケーションに実装するための技術的な手順と、UXのベストプラクティスを詳しく解説します。
Posted inセキュリティ
JWTの要塞化:API本番環境での6ヶ月間から得た実践的レッスン
本番環境での6ヶ月間の運用から得られた、実践的なJWTセキュリティの教訓。RS256への移行理由、Redisを使用した失効処理、そして「none」アルゴリズム攻撃の阻止方法について解説します。
Posted inセキュリティ
OAuth 2.0とOpenID Connectのセキュリティ:よくある脆弱性と正しい実装方法
OAuth 2.0とOpenID Connectは現代の認証の基盤だが、設定ミスは一般的で代償も大きい。このガイドでは、stateパラメータの欠如・オープンリダイレクト・不適切なトークン検証など、最も頻繁に見られる脆弱性を取り上げ、実践的なPythonの例を使って各ステップを正しく実装する方法を解説する。
Posted inセキュリティ
KeycloakをDockerにデプロイ:アプリの集中IAM・SSOシステムを構築する
各アプリケーションで認証ロジックを個別に実行すると、セキュリティの穴、コードの重複、ユーザーの不満が生まれる。このガイドでは、PostgreSQLを使ってKeycloakをDockerにデプロイし、集中型IAMとSSOシステムを構築する手順を解説する——シングルログイン、一貫したセキュリティポリシー、全アプリへのMFA適用を実現する。
Posted inセキュリティ
OWASP Top 10: 一般的なWeb脆弱性の理解と予防
一般的なWeb脆弱性を理解し、予防するための重要なガイドであるOWASP Top 10を深く掘り下げます。この記事では、インジェクションやアクセス制御の不備といった重大なセキュリティリスクを初心者向けに解説し、若手開発者が安全なアプリケーションを構築するのに役立つ実践的な例を交えて紹介します。