セキュリティ プログラミング ソフトウェア 2026.05.20 64 OAuth 2.0 と OpenID Connect (OIDC) の違い — 認可と認証 OAuth 2.0 と OpenID Connect (OIDC) は混同されがちですが、「OAuth 2.0 = API への認可」 と 「OIDC = ユーザーの認証」 で役割がまったく違います。ID トークンとアクセストークンの違い、ユースケース別の使い分け、認可フローの選び方、混同が引き起こす事故パターンを実務目線で整理します。 # セキュリティ # 認証 # OAuth
セキュリティ プログラミング ソフトウェア 2026.05.20 47 JWT の正しい使い方と落とし穴 — 署名検証・保管・失効 JWT はステートレスで便利な反面、「alg=none」 「署名検証忘れ」 「localStorage 保管で XSS」 「失効できない」 など落とし穴も多いトークン形式です。「JWT を使うと決めた場合」 のベストプラクティス(必須クレーム検証・短命 + Rotation・HttpOnly Cookie・機密データを入れない)と、よくある事故パターンを実務目線で整理します。 # セキュリティ # 認証 # トークン
ソフトウェア 2026.04.24 63 認可とは?認証との違いを最初に整理 認可とは何かを、認証との違いから整理します。誰か確認する認証と、何をしてよいか決める認可の違い、ログイン後にも認可が必要な理由、RBACやOAuth 2.0との関係、APIや管理画面での典型例まで初心者向けに解説します。 # RBAC # セキュリティ # 認証
ソフトウェア セキュリティ 2026.04.24 57 APIキーとは?OAuthと何が違うのか APIキーとは何かを、OAuthとの違いから整理します。公開データ取得で足りる場面、ユーザー本人の権限が必要な場面、サーバー間連携での使い分け、漏えい時の危険性、スコープや制限の考え方まで初心者向けにまとめます。 # API # 認証 # APIキー
