#author("2022-04-18T07:53:02+00:00","default:admin","admin") -[[WebAPI学習ソースまとめ:https://qiita.com/y-some/items/7e05540d7563f7c1c101]] -[[Web API認証方式のパターン:https://architecting.hateblo.jp/entry/2020/03/27/033758]] -[[OAuth & OpenID Connect 関連仕様まとめ:https://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3]] -[[認証を含む API 開発で検討すべきこと:http://www.bokukoko.info/entry/2015/12/20/%E8%AA%8D%E8%A8%BC%E3%82%92%E5%90%AB%E3%82%80_API_%E9%96%8B%E7%99%BA%E3%81%A7%E6%A4%9C%E8%A8%8E%E3%81%99%E3%81%B9%E3%81%8D%E3%81%93%E3%81%A8]] -[[Web API認証について:http://blog.virtual-tech.net/2014/01/web-api.html]] -[[技術/HTTP/REST設計思想の "Stateless" との付き合い方:https://www.glamenv-septzen.net/view/1350]] -[[WebAPIの認証:https://techinfoofmicrosofttech.osscons.jp/index.php?WebAPI%E3%81%AE%E8%AA%8D%E8%A8%BC]] *OAuth [#f2c9ad2e] -[[OAuthプロトコルの中身をざっくり解説してみるよ:http://d.hatena.ne.jp/yuroyoro/20100506/1273137673]] -[[ゼロから学ぶOAuth:http://gihyo.jp/dev/feature/01/oauth]] -[[APIアクセス権を委譲するプロトコル、OAuthを知る:http://www.atmarkit.co.jp/fsecurity/special/106oauth/oauth01.html]] -[[OAuth 2.0の代表的な利用パターンを仕様から理解しよう:https://www.buildinsider.net/enterprise/openid/oauth20]] -[[OAuth 2.0 全フローの図解と動画:https://qiita.com/TakahikoKawasaki/items/200951e5b5929f840a1f]] -[[OAuth 2.0 クライアント認証:https://qiita.com/TakahikoKawasaki/items/63ed4a9d8d6e5109e401]] -[[OAuth 2.0 の仕組みと認証方法:https://murashun.jp/blog/20150920-01.html]] -[[OAuth 2.0 の認可レスポンスとリダイレクトに関する説明:https://qiita.com/TakahikoKawasaki/items/8567c80528da43c7e844]] -[[OAuth2.0によるWeb APIの保護:https://www.slideshare.net/naohiro.fujie/oauth20web-api]] -[[一番分かりやすい OAuth の説明:https://qiita.com/TakahikoKawasaki/items/e37caf50776e00e733be]] -[[OAuth 2.0 の勉強のために認可サーバーを自作する:https://qiita.com/TakahikoKawasaki/items/e508a14ed960347cff11]] **stateパラメタ [#fa8201e8] -[[OAuthやOpenID Connectで使われるstateパラメーターについて:https://tech-lab.sios.jp/archives/8492]] -[[OAuth2.0 State の役割:https://qiita.com/naoya_matsuda/items/67a5a0fb4f50ac1e30c1]] -[[図解:OAuth 2.0に潜む「5つの脆弱性」と解決法:https://www.atmarkit.co.jp/ait/articles/1710/24/news011.html]] -[[OAuth 2.0, OpenID Connect の state, PKCE, nonce について調べた:https://medium.com/@itooww/oauth-2-0-openid-connect-%E3%81%AE-state-pkce-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6%E8%AA%BF%E3%81%B9%E3%81%9F-1463942309c7]] -[[OAuthのセキュリティ強化を目的とする拡張仕様を導入しました:https://alpha.mixi.co.jp/entry/2013/12020/]] -CSRF対策 -stateパラメタの限界 --認証サーバは認可要求からクライアントがstateパラメータを利用しているかどうか”は知ることができるものの, “stateパラメータに共通の値や推測可能な値を指定していないか”、クライアントが正しく認可応答のstateパラメータの検証をしているか”までは知ることができない **PKCE [#a9c5df75] -Proof Key for Code Exchange by OAuth Public Clients -[[Auth0を利用してOAuth 2.0のPKCEを理解する:https://dev.classmethod.jp/articles/oauth-2-0-pkce-by-auth0/]] -[[OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました:https://techblog.yahoo.co.jp/entry/20191219790463/]] -[[PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと:https://qiita.com/TakahikoKawasaki/items/00f333c72ed96c4da659]] -[[OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する:https://zenn.dev/zaki_yama/articles/oauth2-authorization-code-grant-and-pkce]] **リソースオーナーパスワードクレデンシャルグラント [#f2c3ea81] -[[リソースオーナーパスワードクレデンシャルグラント:https://openid-foundation-japan.github.io/rfc6749.ja.html#grant-password]] *OpenID [#z2755baa] -[[wikipedia - OpenID:http://ja.wikipedia.org/wiki/OpenID]] -[[@IT - OpenIDの仕様と技術:http://www.atmarkit.co.jp/fsecurity/index/index_openid.html]] -[[openid.ne.jp:http://www.openid.ne.jp/]] -[[OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ:https://www.buildinsider.net/enterprise/openid/connect]] *AWS [#t51e2d2a] -[[LaravelからAppSync APIをIAM認証で実行する:https://tec.tecotec.co.jp/entry/2021/12/08/000000]]