Posted inプログラミング
Goでゼロからつくるレートリミッター:Token BucketアルゴリズムによるAPI保護
レートリミッターをゼロから構築すると、普段使っているライブラリの内部で何が起きているかが明らかになる。このチュートリアルでは、GoでToken Bucketレートリミッターを並行安全に実装する方法を、コアアルゴリズムからHTTPミドルウェアまで解説し、本番環境向けの実践的なパラメータチューニングのアドバイスも紹介する。
Posted inセキュリティ
STRIDEによる脅威モデリング:コードを1行も書く前にセキュリティリスクを分析する
STRIDEによる脅威モデリングは、WebアプリやAPIのセキュリティリスクをコードを書く前に特定する手法です。認証の欠陥、権限昇格、データ漏洩を設計段階で発見できます。OWASP Threat DragonとpytmをREST APIアーキテクチャの実例とともに解説します。
Posted inAI
Anthropic Computer Useを極める:デスクトップを操作するAIエージェントの構築
壊れやすいDOMセレクターは卒業しましょう。AnthropicのComputer Use APIを使用し、レガシーソフトウェアやブラウザ、デスクトップアプリを自動化する視覚ベースのAIエージェントの構築方法を解説します。
Posted inプログラミング
Cache-ControlとETagでAPIレイテンシを劇的に削減する方法
APIのパフォーマンスを向上させ、サーバーコストを削減しましょう。このガイドでは、Cache-ControlとETagを使用して不要なデータ転送を最小限に抑え、レイテンシを短縮する方法を詳しく説明します。
Posted inDevOps
PostmanとNewmanによるCI/CDでのAPIテスト自動化:本番環境での6ヶ月間の実績
本番環境での6ヶ月間の運用経験に基づき、PostmanとNewmanをCI/CDパイプラインに統合して、リリース前にAPIのバグを確実にキャッチするための実践的なガイドを紹介します。
Posted inセキュリティ
BOLAを狩る:OWASP ZAPでAPIセキュリティを監査する方法
BOLAは現代のAPIにおける最大のリスクです。OWASP ZAPを使用してセキュリティテストを自動化し、認可のバグを発見してコードを堅牢にする方法を解説します。
Posted inセキュリティ
JWTの要塞化:API本番環境での6ヶ月間から得た実践的レッスン
本番環境での6ヶ月間の運用から得られた、実践的なJWTセキュリティの教訓。RS256への移行理由、Redisを使用した失効処理、そして「none」アルゴリズム攻撃の阻止方法について解説します。
Posted inプログラミング
APIの破壊的変更を止める:Pactによるコンシューマ駆動契約テスト(CDCT)実践ガイド
「統合地獄」を排除し、APIの破壊的変更を未然に防ぎましょう。本ガイドでは、PactとNode.jsを用いたコンシューマ駆動契約テストのマスター方法を解説します。
Posted inプログラミング
tRPCとTypeScriptでNext.jsに型安全なフルスタックAPIを構築する — スキーマ定義不要
tRPCを使えば、コード生成や別スキーマファイルなしに、Next.jsのバックエンドとフロントエンド間でTypeScriptの型を共有できます。このチュートリアルでは型安全なフルスタックAPIをゼロからセットアップする手順を解説します。サーバー側でフィールド名を変更すると、本番ではなくコンパイル時に即座にクライアントのエラーとして検出されます。
Posted inセキュリティ
OAuth 2.0とOpenID Connectのセキュリティ:よくある脆弱性と正しい実装方法
OAuth 2.0とOpenID Connectは現代の認証の基盤だが、設定ミスは一般的で代償も大きい。このガイドでは、stateパラメータの欠如・オープンリダイレクト・不適切なトークン検証など、最も頻繁に見られる脆弱性を取り上げ、実践的なPythonの例を使って各ステップを正しく実装する方法を解説する。