Showing posts with the label Authentication

Stopping JWT Theft: Implementing Refresh Token Rotation with Reuse Detection

Post a Comment
The security audit report landed on my desk on a Friday afternoon, and it wasn't pretty. While our access token expiration was tight (15 minutes…
Stopping JWT Theft: Implementing Refresh Token Rotation with Reuse Detection

JWT盗難対策:リフレッシュトークンローテーションと再利用検知の実装(Node.js + Redis)

Post a Comment
「ユーザーがログアウトしたはずなのに、誰かがアカウントを操作している」。これは以前、私が担当していた大規模なEコマースプラットフォーム(MAU 50万規模)で実際に発生したインシデントです。原因は、XSS脆弱性を突かれてローカルストレージから盗まれた長期間有効なリフレッシュトークンでした。アク…
JWT盗難対策:リフレッシュトークンローテーションと再利用検知の実装(Node.js + Redis)

ID Token vs Access Token What Developers Often Get Wrong

Post a Comment
As a full-stack developer navigating the modern web, you've inevitably encountered OAuth 2.0 and OpenID Connect (OIDC) . They are the bedrock o…
ID Token vs Access Token What Developers Often Get Wrong

OAuth 2.0アーキテクチャ:委任認可と実装パターン

Post a Comment
サ ードパーティアプリケーション連携において、ユーザーのクレデンシャル(ID/パスワード)を直接共有することは、セキュリティ上の致命的なアンチパターンです。かつてのリバースエンジニアリングやスクレイピングに依存した連携手法は、クレデンシャルの漏洩リスクとアクセス制御の粒度の粗さという二重の課題を抱えていました。これらの問題を解決し、リソースへのアクセス権限を安全に「委任(Delegate)」す…
OAuth 2.0アーキテクチャ:委任認可と実装パターン
OlderHomeNewest