#Authentication #Security 既知のデータ侵害で利用されたパスワードかどうかを検証できるサービス、API https://haveibeenpwned.com/Passwords

#Team Organization Team Topologiesにて紹介される4つのチームタイプの内の1つ 認証や認可・決済等のサブシステムを構築しストリームアラインドチームにAPIを提供する

#API Architecture #Network 外部トラフィックに対してリバースプロキシ・ロードバランシングが持つようなネットワークのルーティング・セキュリティと可用性の向上に加え、以下のような機能横断的な要件を扱う役割 認証 認可 レートリミット リトライ サーキットブレーカー etc.

多要素認証 #Security #Authentication

#TypeScript #Security #Authentication パスワード強度を検証するライブラリ https://github.com/zxcvbn-ts/zxcvbn

#Security #Authentication #OWASP HTTP Cookie https://cheatsheetseries.owasp.org/cheatsheets/Session_Management_Cheat_Sheet.html

#Security #Authentication #OWASP Session Management zxcvbn-ts Pwned Passwords TLS Client Authentication Multi-factor Authentication OAuth2 OpenId SAML https://cheatsheetseries.owasp.org/cheatsheets/Authentication_Cheat_Sheet.html

#Security #Authentication HTTPプロトコルにおける認証方式 ユーザー名とパスワードをコロンで連結した文字列をBase64エンコードした結果を、Authorizationヘッダーに付与することでリクエストを行う

#Security #Authentication ingressgatewayに対して、JWTの検証を行うためのカスタムリソース https://istio.io/latest/docs/reference/config/security/request_authentication/

#Security #Authentication Istioにおいてマイクロサービス間のmTLSを設定するカスタムリソース https://istio.io/latest/docs/reference/config/security/peer_authentication/

JSON Web Token #Security #Authentication トークン自体の情報（例: 期限）を自身で構造化して保持することで、共有データベースへ保持・検索をする必要がないトークン。トークンが自身の情報を持つことで外部からのトークン取り消しのような操作はできない JWTは.によって3つのセクションの文字列に分割できる（署名がない場合3つ目のセクションは空） それぞれのセクションの文字列は構造化されたJSONをBase64URLエンコードした結果となっている ヘッダー 1つ目のセクションはヘッダーとして以下のような構造を持つ { "typ": "JWT", "alg": "RSA256" } algで指定する署名アルゴリズムは3つ目の署名セクションの解読にて用いる ペイロード 2つ目のセクションはトークン自体のペイロードになる。ペイロードの中身はJSONであれば自由だが、JWTクレームと呼ばれる役割が明示・明示された項目群が存在する。 例として　iss（発行者）、sub（対象者）、exp（有効期限）などがある 署名 3つ目のセクションはHMACやRSAのような署名アルゴリズムを使った結果が保持される RFC 7519 - JSON Web Token (JWT)