The security audit report landed on my desk on a Friday afternoon, and it wasn't pretty. While our access token expiration was tight (15 minutes), our handling of refresh tokens created a massiv…

「ユーザーがログアウトしたはずなのに、誰かがアカウントを操作している」。これは以前、私が担当していた大規模なEコマースプラットフォーム（MAU 50万規模）で実際に発生したインシデントです。原因は、XSS脆弱性を突かれてローカルストレージから盗まれた長期間有効なリフレッシュトークンでした。アクセストークンの有効期限を15分に短縮していても、リフレッシュトークンが生きていれば攻撃者は無限に新し…

As a full-stack developer navigating the modern web, you've inevitably encountered OAuth 2.0 and OpenID Connect (OIDC) . They are the bedrock of secure authentication and authorization for coun…

サ ードパーティアプリケーション連携において、ユーザーのクレデンシャル（ID/パスワード）を直接共有することは、セキュリティ上の致命的なアンチパターンです。かつてのリバースエンジニアリングやスクレイピングに依存した連携手法は、クレデンシャルの漏洩リスクとアクセス制御の粒度の粗さという二重の課題を抱えていました。これらの問題を解決し、リソースへのアクセス権限を安全に「委任（Delegate）」す…