アプリケーション
9 コマンド
意図しないリクエスト送信CSRF(クロスサイトリクエストフォージェリ)
ログイン済みのユーザーに意図しないリクエストを送信させる攻撃。
セッション管理セッション管理
ユーザーの認証状態を維持する仕組み。セッション固定攻撃やセッションハイジャックへの対策が重要。
OAuth 2.0 認可フレームワークOAuth 2.0
サードパーティにパスワードを渡さずにリソースへのアクセスを委譲する認可フレームワーク。
認可コードフロー認可コードフロー
サーバーサイドアプリ向けの最も安全な OAuth 2.0 フロー。認可コードをバックチャネルでトークンに交換する。
PKCEPKCE(認可コード横取り対策)
SPA・モバイルアプリ向けの拡張フロー。code_verifier / code_challenge で認可コード横取りを防止する。
クライアントクレデンシャルクライアントクレデンシャルフロー
サーバー間通信(M2M)向けのフロー。ユーザーの関与なしにクライアント自身の認証情報でトークンを取得する。
OpenID Connect 認証OpenID Connect (OIDC)
OAuth 2.0 の上に認証レイヤーを追加したプロトコル。ID トークンによりユーザーの本人確認ができる。
オリジン間リソース共有CORS(オリジン間リソース共有)
異なるオリジン間での HTTP リクエストを制御する仕組み。同一オリジンポリシーを緩和しつつ、不正なアクセスを防ぐ。
JWT トークンJWT(JSON Web Token)
JSON ベースのトークン形式。署名により改ざんを検知できるが、適切に運用しないとセキュリティリスクになる。