ユーザー認証周りのAPIを作っていたのですが、その中でJWTの仕組みを使いました。使い方はシンプルで分かりやすく比較的簡単にセキュリティ向上を見込めると感じたのですが、日本語の資料がまだ少なく敷居が高い印象でした。使ってみたら予想以上に便利だったのでメモを共有します。 間違いなどありましたら指摘お願いします。 JWT概要 JWTは「Json Web Token」の略 JWTはjsonをトークン化する仕組み 改ざん出来ないjsonと思ってもらえればOK Signed JWT JWTがサポートしている署名アルゴリズム HMAC : 共通鍵方式 RSA : 公開鍵方式 ECDSA : 楕円曲線暗号(あまり使われ得ていない) 運用 秘密鍵と公開鍵を作っておく 送りたいデータを秘密鍵でエンコードし、レスポンスとして返す 帰ってきたJWTをセッションに保存 受信側は公開鍵を使ってトークンをデコードし、
認証鍵作成ツール 続いては、認証鍵を作成するためのツールについてです。 詳細な使い方は、様々なサイトや各種マニュアルで説明がありますので、ここでは代表的な手段についての紹介にとどめます。 ssh-keygenコマンド OpenSSHに付属する鍵作成・変換コマンドです。 OpenSSH形式の鍵ペアを作成することができます。 ※秘密鍵・公開鍵を同時に作成します。 公開鍵については、ssh.com形式との相互変換も行えます。 MobaXtermにも同梱されており、ローカルターミナル上で実行できます。 以下の図は、MobaXtermでssh-keygenコマンドを実行した例です。id_rsa,id_rsa.pubのペアができていることが分かります。 TeraTermの鍵生成メニュー TeraTermのメニューから呼び出せる機能です。 OpenSSH形式の鍵を作成することができます。 以下の図は、T
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 電子署名に関する記事の中で、軽く触れておこうと思ったところ、結構長くなりそうなので、単独の記事として起こしました。 電子署名と言えば、古典的にはRSA署名、DSA、近年使われているのはECDSAやEdDSA(ed25519)といった方式がありますが、その具体的な内容は割愛します。 世の中、電子署名の説明は色々ありますので、そちらをご参照…と言いたかった所なのですが、残念なことに不適切な説明というのも多いのです。 現実へのアナロジー 電子署名とは、現実世界の署名( 日本でならまだ印鑑の方がメジャーでしょうか ) をデジタルデータ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
