Kazuki Nakajima, profile picture
Uploaded byKazuki Nakajima
PDF, PPTX2,913 views

Apexで作成したrest apiをしっかり保護する方法

Oracle Database Cloud(apex.oracle.com含む)で作成したREST APIに認証・認可を設ける方法

Embed presentation

Download as PDF, PPTX
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | APEXで作成したREST APIをしっかり保護する⽅法 ⽇本オラクル 中嶋⼀樹
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 2 REST API apex.oracle.com 3rd Party Application • ときにウェブサービス • ときにモバイルアプリ • ときにBot
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 3 REST API apex.oracle.com 3rd Party Application 鍵(トークン)が必要 *パスワードではない 
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 4 REST API 3rd Party Application *パスワードではない  友達リストをゲットしたいんだけど。 どうするよ? ①② ③ よかろう ④ これトークンな。
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | ⼀般的にはOAuth2.0 + Authorizationヘッダーへのトークン付加 5 • そもそもは、パスワードをそのまま渡すよりセキュアな認可の仕組み。 • ⼤事なパスワードを教えることなく、必要な権限だけ許可できる。 • ユーザーがパスワードを変更しても影響を受けない。 • トークンの失効、リフレッシュといった仕組みの完備。 • HTTPヘッダーを使うことでトークンが露出しにくい(気休め程度) • 複数のフローが定義されており、いろんなシチュエーションに対応できる。
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Database CloudでもOAuth2.0できます 6 Qiita: apex.oracle.comのAPIをOAuth2.0で保護する⽅法 (apex.oracle.com含む)
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | ただし、 7 • Userごとの認証・認可には向いているが、Server to Serverでは? • そもそもどのユーザーで認可すれば? • リフレッシュ処理が定期的に必要だが無駄なオーバーヘッドになる。 REST API apex.oracle.com 3rd Party Application
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 8 Server to ServerのアクセスだけであればURIへのトークン埋め込みでもOK • 脆弱な気がするが、SSLしていればヘッダーでもURIでも暗号化されている。 • 例えばFacebookのMessage APIではQuery Stringにトークンを指定する仕様 https://graph.facebook.com/v2.8/me/messages?access_token=あなたのトークン
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | Database CloudでもURIへのトークン埋め込みは超簡単 9
Copyright © 2016, Oracle and/or its affiliates. All rights reserved. | 10 ただし、 • サービスがマルチテナント型だったり、 ユーザーによってアクセスできるデー タを制御する必要がある場合。 その場合の対処固定トークンでは対応できないケース • トークンをバインド変数にしてSQL or PL/SQLで制御する。(データ構造をマル チテナント・マルチユーザー対応にしておく必 要あり) • WORKSPACEまたはPDBをテナント毎 に作成する。(ユーザー毎だとこのやり⽅は キツい)
Apexで作成したrest apiをしっかり保護する方法

More Related Content

PDF
글쓰는 개발자 모임, 글또
bySeongyun Byeon
 
PPTX
SAS Viya
bybidwhm
 
PPTX
はじめての datadog
byNaoya Nakazawa
 
PDF
포트폴리오 조동현
by종무 강
 
PDF
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
byYahoo!デベロッパーネットワーク
 
PDF
居場所を隠すために差分プライバシーを使おう
byHiroshi Nakagawa
 
PPTX
메타버스와 생성형 AI 조사(김병철) 20230323.pptx
byssuserc0b359
 
PDF
社内ドキュメント検索システム構築のノウハウ
byShinsuke Sugaya
 
글쓰는 개발자 모임, 글또
bySeongyun Byeon
 
SAS Viya
bybidwhm
 
はじめての datadog
byNaoya Nakazawa
 
포트폴리오 조동현
by종무 강
 
At least onceってぶっちゃけ問題の先送りだったよね #kafkajp
byYahoo!デベロッパーネットワーク
 
居場所を隠すために差分プライバシーを使おう
byHiroshi Nakagawa
 
메타버스와 생성형 AI 조사(김병철) 20230323.pptx
byssuserc0b359
 
社内ドキュメント検索システム構築のノウハウ
byShinsuke Sugaya
 

What's hot

PPTX
OpenSSHの認証に証明書を使う
byHironobu Saitoh
 
PDF
개발자를 위한 (블로그) 글쓰기 intro
bySeongyun Byeon
 
PDF
맵매칭 (부정확한 GPS포인트들로부터 경로 추정하기)
byif kakao
 
PPTX
Druid and Hive Together : Use Cases and Best Practices
byDataWorks Summit
 
PDF
モノタロウの1900万商品を検索する Elasticsearch構築運用事例(2022-10-26 第50回Elasticsearch 勉強会発表資料)
by株式会社MonotaRO Tech Team
 
PPTX
Keeping Spark on Track: Productionizing Spark for ETL
byDatabricks
 
PDF
SharePoint goes Microsoft Graph
byMarkus Moeller
 
PDF
あなたの知らないPostgreSQL監視の世界
byYoshinori Nakanishi
 
PDF
JenkinsのAWS連携
by株式会社スカイアーチネットワークス
 
PDF
Under The Hood Of A Shard-Per-Core Database Architecture
byScyllaDB
 
PDF
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
PPTX
Molecule入門
byHiroki Uchida
 
PDF
現場で使えるDynamoDBと冪等デザインパターン
bycmaraiyusuke
 
PDF
Sparkによる GISデータを題材とした時系列データ処理 (Hadoop / Spark Conference Japan 2016 講演資料)
byHadoop / Spark Conference Japan
 
PDF
Salesforce Big Object 最前線
bySalesforce Developers Japan
 
PDF
Diving into Delta Lake: Unpacking the Transaction Log
byDatabricks
 
ODP
Kivy - Python UI Library for Any Platform
bySaurav Singhi
 
PDF
TF에서 팀 빌딩까지 9개월의 기록 : 성장하는 조직을 만드는 여정
bySeongyun Byeon
 
PDF
성장을 좋아하는 사람이, 성장하고 싶은 사람에게
bySeongyun Byeon
 
PDF
Monitor Apache Spark 3 on Kubernetes using Metrics and Plugins
byDatabricks
 
OpenSSHの認証に証明書を使う
byHironobu Saitoh
 
개발자를 위한 (블로그) 글쓰기 intro
bySeongyun Byeon
 
맵매칭 (부정확한 GPS포인트들로부터 경로 추정하기)
byif kakao
 
Druid and Hive Together : Use Cases and Best Practices
byDataWorks Summit
 
モノタロウの1900万商品を検索する Elasticsearch構築運用事例(2022-10-26 第50回Elasticsearch 勉強会発表資料)
by株式会社MonotaRO Tech Team
 
Keeping Spark on Track: Productionizing Spark for ETL
byDatabricks
 
SharePoint goes Microsoft Graph
byMarkus Moeller
 
あなたの知らないPostgreSQL監視の世界
byYoshinori Nakanishi
 
JenkinsのAWS連携
by株式会社スカイアーチネットワークス
 
Under The Hood Of A Shard-Per-Core Database Architecture
byScyllaDB
 
今なら間に合う分散型IDとEntra Verified ID
byNaohiro Fujie
 
Molecule入門
byHiroki Uchida
 
現場で使えるDynamoDBと冪等デザインパターン
bycmaraiyusuke
 
Sparkによる GISデータを題材とした時系列データ処理 (Hadoop / Spark Conference Japan 2016 講演資料)
byHadoop / Spark Conference Japan
 
Salesforce Big Object 最前線
bySalesforce Developers Japan
 
Diving into Delta Lake: Unpacking the Transaction Log
byDatabricks
 
Kivy - Python UI Library for Any Platform
bySaurav Singhi
 
TF에서 팀 빌딩까지 9개월의 기록 : 성장하는 조직을 만드는 여정
bySeongyun Byeon
 
성장을 좋아하는 사람이, 성장하고 싶은 사람에게
bySeongyun Byeon
 
Monitor Apache Spark 3 on Kubernetes using Metrics and Plugins
byDatabricks
 

Viewers also liked

PDF
Waterfall cafeで働くBot
byKazuki Nakajima
 
PPTX
AIが入った栄養士Botのアーキテクチャー
byKazuki Nakajima
 
PDF
無償のAPEXワークスペース取得方法
byKazuki Nakajima
 
PDF
Oracle Cloudのjava実行環境
byKazuki Nakajima
 
PDF
実はDatabase cloudだけで実現できる巷で噂の機械学習とは?
byKazuki Nakajima
 
PDF
畑と会話するニュータイプなIo tアプリで加熱中の技術トレンドを鷲掴みにする45分
byKazuki Nakajima
 
PDF
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
byAmazon Web Services Japan
 
PDF
Force.com canvas入門ガイド
byKazuki Nakajima
 
PDF
海外で人気沸騰中のIo tデバイスとdatabase cloudで構成するシンプルなiot構成を学ぶ
byKazuki Nakajima
 
PDF
キャンバス個人用アプリ 速習ガイド
byKazuki Nakajima
 
PDF
AIを組み込んだ近未来のアプリケーションで感じる新しいサービスの新しい開発手法
byKazuki Nakajima
 
PDF
今さらきけない環境ハブ
byKazuki Nakajima
 
PDF
Ohotech特盛#13 スマホで操作する カメラ付きWi-Fiラジコンカー ― C#とラズパイとWebアプリの技術で作っちゃおう! ―
byJun-ichi Sakamoto
 
PDF
鳥肌必至のニューラルネットワークによる近未来の画像認識技術を体験し、IoTの知られざるパワーを知る
byKazuki Nakajima
 
PDF
はじめよう TypeScript - 入門から実践まで - 素の JavaScript とはさようなら!
byJun-ichi Sakamoto
 
PDF
野澤陽介(Yosuke nozawa)|自己紹介スライド 2014ver
by取締役
 
PDF
ライトニングトーク - とある LINE Bot の開発記「とても腹立たしいことがあったのです」
byJun-ichi Sakamoto
 
Waterfall cafeで働くBot
byKazuki Nakajima
 
AIが入った栄養士Botのアーキテクチャー
byKazuki Nakajima
 
無償のAPEXワークスペース取得方法
byKazuki Nakajima
 
Oracle Cloudのjava実行環境
byKazuki Nakajima
 
実はDatabase cloudだけで実現できる巷で噂の機械学習とは?
byKazuki Nakajima
 
畑と会話するニュータイプなIo tアプリで加熱中の技術トレンドを鷲掴みにする45分
byKazuki Nakajima
 
[AWSマイスターシリーズ] AWS CLI / AWS Tools for Windows PowerShell
byAmazon Web Services Japan
 
Force.com canvas入門ガイド
byKazuki Nakajima
 
海外で人気沸騰中のIo tデバイスとdatabase cloudで構成するシンプルなiot構成を学ぶ
byKazuki Nakajima
 
キャンバス個人用アプリ 速習ガイド
byKazuki Nakajima
 
AIを組み込んだ近未来のアプリケーションで感じる新しいサービスの新しい開発手法
byKazuki Nakajima
 
今さらきけない環境ハブ
byKazuki Nakajima
 
Ohotech特盛#13 スマホで操作する カメラ付きWi-Fiラジコンカー ― C#とラズパイとWebアプリの技術で作っちゃおう! ―
byJun-ichi Sakamoto
 
鳥肌必至のニューラルネットワークによる近未来の画像認識技術を体験し、IoTの知られざるパワーを知る
byKazuki Nakajima
 
はじめよう TypeScript - 入門から実践まで - 素の JavaScript とはさようなら!
byJun-ichi Sakamoto
 
野澤陽介(Yosuke nozawa)|自己紹介スライド 2014ver
by取締役
 
ライトニングトーク - とある LINE Bot の開発記「とても腹立たしいことがあったのです」
byJun-ichi Sakamoto
 

Similar to Apexで作成したrest apiをしっかり保護する方法

PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
byssuser033561
 
PDF
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
ochacafe#6 人にもマシンにもやさしいAPIのエコシステム
byオラクルエンジニア通信
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
20220729 AAdK15 C&S 永瀬 A360 API 【配布用】.pdf
byssuser033561
 
「金融API向けOAuth」にみるOAuthプロファイリングの実際 #secjaws #finsecjaws01 #oauth #oidc #api
byTatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
ochacafe#6 人にもマシンにもやさしいAPIのエコシステム
byオラクルエンジニア通信
 

More from Kazuki Nakajima

PDF
ビーコンBotによるニュータイプな受付
byKazuki Nakajima
 
PDF
Spring'15 ISV様向け新機能紹介
byKazuki Nakajima
 
PDF
絶対使いたくなるAppexchangeアプリとそのアーキテクチャー
byKazuki Nakajima
 
PDF
ビジネスアイデアを最速で形にできるApp exchange
byKazuki Nakajima
 
PDF
活躍中のアプリケーションから紐解くForcecom
byKazuki Nakajima
 
PDF
Upwardのご紹介
byKazuki Nakajima
 
PDF
Salesforce1入門
byKazuki Nakajima
 
PDF
Drawloop intro
byKazuki Nakajima
 
PDF
Sugoisurvey intro
byKazuki Nakajima
 
PDF
Rakumo intro
byKazuki Nakajima
 
PDF
Motionboard intro
byKazuki Nakajima
 
PDF
Teamspirit intro
byKazuki Nakajima
 
PDF
Socialvoice for support intro
byKazuki Nakajima
 
PDF
Socialvoice for sales intro
byKazuki Nakajima
 
PDF
Eventregist Intro
byKazuki Nakajima
 
PDF
App exchange conference facebookがビジネスアプリに与えるインパクト
byKazuki Nakajima
 
PDF
さあ、はじめよう。Application Partner
byKazuki Nakajima
 
PDF
勉強会force#3 iOSアプリ開発
byKazuki Nakajima
 
ビーコンBotによるニュータイプな受付
byKazuki Nakajima
 
Spring'15 ISV様向け新機能紹介
byKazuki Nakajima
 
絶対使いたくなるAppexchangeアプリとそのアーキテクチャー
byKazuki Nakajima
 
ビジネスアイデアを最速で形にできるApp exchange
byKazuki Nakajima
 
活躍中のアプリケーションから紐解くForcecom
byKazuki Nakajima
 
Upwardのご紹介
byKazuki Nakajima
 
Salesforce1入門
byKazuki Nakajima
 
Drawloop intro
byKazuki Nakajima
 
Sugoisurvey intro
byKazuki Nakajima
 
Rakumo intro
byKazuki Nakajima
 
Motionboard intro
byKazuki Nakajima
 
Teamspirit intro
byKazuki Nakajima
 
Socialvoice for support intro
byKazuki Nakajima
 
Socialvoice for sales intro
byKazuki Nakajima
 
Eventregist Intro
byKazuki Nakajima
 
App exchange conference facebookがビジネスアプリに与えるインパクト
byKazuki Nakajima
 
さあ、はじめよう。Application Partner
byKazuki Nakajima
 
勉強会force#3 iOSアプリ開発
byKazuki Nakajima
 

Apexで作成したrest apiをしっかり保護する方法

  • 1.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | APEXで作成したREST APIをしっかり保護する⽅法 ⽇本オラクル 中嶋⼀樹
  • 2.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | 2 REST API apex.oracle.com 3rd Party Application • ときにウェブサービス • ときにモバイルアプリ • ときにBot
  • 3.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | 3 REST API apex.oracle.com 3rd Party Application 鍵(トークン)が必要 *パスワードではない 
  • 4.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | 4 REST API 3rd Party Application *パスワードではない  友達リストをゲットしたいんだけど。 どうするよ? ①② ③ よかろう ④ これトークンな。
  • 5.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | ⼀般的にはOAuth2.0 + Authorizationヘッダーへのトークン付加 5 • そもそもは、パスワードをそのまま渡すよりセキュアな認可の仕組み。 • ⼤事なパスワードを教えることなく、必要な権限だけ許可できる。 • ユーザーがパスワードを変更しても影響を受けない。 • トークンの失効、リフレッシュといった仕組みの完備。 • HTTPヘッダーを使うことでトークンが露出しにくい(気休め程度) • 複数のフローが定義されており、いろんなシチュエーションに対応できる。
  • 6.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | Database CloudでもOAuth2.0できます 6 Qiita: apex.oracle.comのAPIをOAuth2.0で保護する⽅法 (apex.oracle.com含む)
  • 7.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | ただし、 7 • Userごとの認証・認可には向いているが、Server to Serverでは? • そもそもどのユーザーで認可すれば? • リフレッシュ処理が定期的に必要だが無駄なオーバーヘッドになる。 REST API apex.oracle.com 3rd Party Application
  • 8.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | 8 Server to ServerのアクセスだけであればURIへのトークン埋め込みでもOK • 脆弱な気がするが、SSLしていればヘッダーでもURIでも暗号化されている。 • 例えばFacebookのMessage APIではQuery Stringにトークンを指定する仕様 https://graph.facebook.com/v2.8/me/messages?access_token=あなたのトークン
  • 9.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | Database CloudでもURIへのトークン埋め込みは超簡単 9
  • 10.
    Copyright © 2016,Oracle and/or its affiliates. All rights reserved. | 10 ただし、 • サービスがマルチテナント型だったり、 ユーザーによってアクセスできるデー タを制御する必要がある場合。 その場合の対処固定トークンでは対応できないケース • トークンをバインド変数にしてSQL or PL/SQLで制御する。(データ構造をマル チテナント・マルチユーザー対応にしておく必 要あり) • WORKSPACEまたはPDBをテナント毎 に作成する。(ユーザー毎だとこのやり⽅は キツい)