Artifact Attestations で GitHub Actions ワークフローの成果物の出所情報を検証可能にする
はじめに # GitHub の Artifact Attestations を使用すると GitHub Actions ワークフローでビルド成果物に署名して成果物の出所情報を検証可能にできます。 Artifact Attestations は現在パブリックベータです...
記事を読むGoogle Apps Scriptを使ってAWS管理コンソールにアクセスする
こんにちは、庄司です。 過去の記事の中で Google Apps Script (GAS) を使って AWS にアクセスするコードを説明してきました。過去の記事では XML のパースや署名のためにサードパーティのライブラリを利用するため、パッケージングに Webpack を使っていました。 この記事では、サードパーティのライブラリを全く使用せず、したがって GAS のエディタを使ったコーディングだけでAWS管理コンソールにアクセスする方法を説明します...
記事を読むいま改めて、セキュリティ・バイ・デザイン(SBD)を考える
これは、豆蔵デベロッパーサイトアドベントカレンダー2023第7日目の記事です。 こんにちは。ES事業部の西尾と申します。 主にテスト、セキュリティ、モデリングの3分野に関心を持ち、日々お客様の課題解決の支援に取り組んでいます。 今回は、私が関心を持っている分野の1つ、セキュリティについてのネタで、セキュリティ・バイ・デザイン(SBD)というお話です。 「なぜこの記事を書くに至ったか」というテーマにも注目して、最後までお付き合い頂けますと幸いです...
記事を読むGoogle Apps ScriptのOIDCトークンを使ったAWSアクセス
庄司です。 6月28日に「Google Apps ScriptからAWSにアクセスするための署名の実装」という記事を公開しました。この記事で Google Apps Script で SigV4 による AWS へのアクセス方法を解説しました。 本記事では、Google で発行される OIDC トークンを使って一時的な認証情報を取得するコードを説明します...
記事を読むGoogle Apps ScriptからAWSにアクセスするための署名の実装
こんにちは、庄司です。 Google Forms や Google Sheets 等の Google アプリケーションを活用していて、例えば Google Sheets に入力された特定の範囲のデータを AWS の S3 にアップロードしたいと思いました。 単純に考えると AWS SDK for JavaScript の利用が真っ先に思い浮かびますが、残念ながらこれは使用できません。Google Apps Script の実行環境は Node.js とは異なる独自のものだからです...
記事を読むJavaコードで理解するTOTPの仕組み
庄司です。 システムやサービスへのアクセスでユーザ名とパスワードだけの認証はセキュリティが弱く、多くのサービスでは多要素認証 (Multi-Factor Authentication) の利用が一般的になっています。 例えば AWS アカウントのルートユーザーアクセスでは多要素認証 (MFA) の利用が強く推奨され、企業のポリシー等でも MFA の利用が強制されることも増えています...
記事を読むMicroProfile JWT Authがやってくれること・できること
今回のテーマはJSON Web Token(JWT)を使ったMicroProfileアプリケーションの認証・認可に関するMicroProfile JWT Auth(MP JWT)です。MP JWTの仕様にはJWTをはじめBearerトークンやOpenID Connect(OIDC), Jakarta EE RBACなど他の規格や標準が多数登場するため難解でかつ、どこまでがMP JWTの話でMP JWTは結局なにをやってくれる仕様なのかがとても分かりづらくなっています...
記事を読む続・Auth0 java-jwtを使った素のJWT認証 - 公開鍵方式でやってみた
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第25日目で今回が最後の記事になります🙌 Auth0 java-jwtを使った素のJWT認証では理解が比較的容易な共通鍵方式による仕組みを紹介しましたが、今回はその続きとしてRSAの公開鍵方式で同じことをやってみたいと思います。説明は前回の記事をなぞる形で進めて行くため、内容が重複する部分の説明は割愛します。行間が読めないところや「そこもうちょっと説明を」などといったところがある場合は前回の記事を確認していただければと思います...
記事を読むAuth0 java-jwtを使った素のJWT認証
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第10日目の記事です。 JWT認証としてはOIDC(OpenIDConnect)が有名ですが、今回は仕組みを素から理解することを目的にAuth0のjava-jwtを使ってJWT認証の簡単な仕組みを作ってみたいと思います。 なお、JWTやJWT認証ってそもそもなに?という方は「基本から理解するJWTとJWT認証の仕組み」から読まれることをお勧めします。 また、記事はサンプルアプリの必要な部分の抜粋を記載しています...
記事を読む基本から理解するJWTとJWT認証の仕組み
これは、豆蔵デベロッパーサイトアドベントカレンダー2022第8日目の記事です。 JSON Web Token(JWT)の単語を目にすることがよくあると思いますが、それと一緒に認証と認可や、RSAの署名や暗号化、そしてOpenIDConnectやOAuth2.0までと難しそうな用語とセットで説明されることも多いため、JWTって難しいなぁと思われがちです。しかし、JWT自体はシンプルで分かりやすいものです...
記事を読む
