File tree Expand file tree Collapse file tree
Expand file tree Collapse file tree Original file line number Diff line number Diff line change @@ -8,13 +8,13 @@ APIを設計、テスト、リリースするときの最も重要なセキュ
88
99## 認証
1010- [ ] ` Basic認証 ` を利用せず、標準的な認証を利用する(例: [ JWT] ( https://jwt.io/ ) 、[ OAuth] ( https://oauth.net/ ) )。
11- - [ ] ` 認証 ` 、` トークンの生成 ` 、` パスワードの保管 ` の車輪の再発明を行わず、標準化されているものを利用する 。
12- - [ ] ログインでは ` 最大リトライ回数(Max Retry) ` とjail機能を利用する。
13- - [ ] 全ての機密情報は暗号化する 。
11+ - [ ] ` 認証 ` 、` トークンの生成 ` 、` パスワードの保管 ` において「車輪の再発明」をしないこと。すでに標準化されているものを利用する 。
12+ - [ ] ログインにおいては ` 最大リトライ回数(Max Retry) ` とjail機能を利用する。
13+ - [ ] 全ての機微情報において暗号化を活用する 。
1414
1515### JWT (JSON Web Token)
16- - [ ] ブルートフォース攻撃を困難にするため、 ランダムで複雑なキー(` JWT Secret ` )を使用する。
17- - [ ] ペイロードからアルゴリズムを抽出してはいけない。必ずバックエンドで暗号化する (` HS256 ` または` RS256 ` )。
16+ - [ ] ランダムで複雑なキー(` JWT Secret ` )を使用する。これはブルートフォース攻撃を困難にするため 。
17+ - [ ] ペイロードからアルゴリズムを抽出しないこと。アルゴリズムは必ずバックエンド処理のみとする (` HS256 ` または` RS256 ` )。
1818- [ ] トークンの有効期限(` TTL ` , ` RTTL ` )を可能な限り短くする。
1919- [ ] JWTのペイロードに機密情報を格納してはいけない。それは[ 簡単に] ( https://jwt.io/#debugger-io ) 復号できる。
2020
You can’t perform that action at this time.
0 commit comments