OAuth2
アクセストークンは次の2種類に分類できる reference token 認可サーバーでしか検証できないトークン(ランダムな文字列など) リソースサーバーはトークンを受け取るたびに毎回認可サーバーにトークンの検証をリクエストしなければいけない サービスをスケ…
前回はJavaScriptを用いてSPAでアクセストークンを取得してみましたが、今回はSpring Securityを用いてサーバーによるアクセストークン取得をやってみたいと思います。 といいましても、Spring Securityが細かい実装の部分をサポートしてくれているので、や…
OAuth 2.0 とか OpenID Connect の全体のフローを作ってみたいと思ったので、とりあえずOAuth 2.0で動くJavaScriptクライアントをSingle Page Applicationとして作ってみたいと思います。 OAuth 2.0 を利用する上で推奨されるセキュリティ上の対策がいくつか…
ちょっとタイトルが分かりづらいですが、Spring Security で作ったリソースサーバーがJWTから Granted Authorities を作る件についての話です。 Spring Security が JWT から Authentication を作る仕組み 公式リファレンスにわかりやすい図とともに載ってま…
リソースサーバーを作ってみようかと思い立ちまして。 全体のイメージはこんな感じで考えています。 クライアントはcurlコマンドを使ってリソースオーナーパスワードクレデンシャルフローでアクセストークンを取得します。リソースオーナーパスワードクレデ…
JWSを作ってみたので、JWTも作ってみようと。 使用するライブラリは以前と同じです。 https://connect2id.com/products/nimbus-jose-jwt 作り方はこちらに載っていました。 https://connect2id.com/products/nimbus-jose-jwt/examples/jwt-with-hmac 実際に…
さっきJWTについての記事を書いたんですが、JWTとJWSの違いがよくわからんなと。なので少し調べてみました。 さっき書いた記事っていうのはこれ。 まず、JOSE(JSON Object Signed and Encription)という一連の仕様をまとめているものがあり、そこでJWTとJW…
OAuth2を使っててJWSとかでてきて、こいつは一体何者なんだって思うときあるじゃないですか。なので調べてみて使ってみたいなと。 JWSとはなにか 関連するRFCは以下の通り。 RFC7519 JSON Web Token - https://tools.ietf.org/html/rfc7519 RFC7515 JSON Web…