アカウント名:
パスワード:
API連携の認証トークン的なものって、暗号化してます?
UIから発行するときに今しかみれないからね!!ってしてるのと、あとからいつでもみれるのといろいろな気がして
メールに記載したURLトークンはhttpsですので大丈夫って回答になったりして
# そこじゃねー
OAuth2.0で広く利用されている JWT 形式のトークンは、ペイロード自体は暗号化されていません。
ペイロードに有効期限が入っており、ペイロード全体への署名が付加されています。暗号化することもできますが、あまり実装は見たことがないです。
これと同様に、トークンはAPI利用のためのチケットであって、それ自体に秘匿すべき情報は(通常は)含まれていないなら、暗号化していなくてもちゃんと署名がされていれば安全ではないでしょうか。
(実物を見ていないのでどんな感じかわからず、一般論ですみません)
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
犯人は巨人ファンでA型で眼鏡をかけている -- あるハッカー
ユーザーパスワードではないところで (スコア:0)
API連携の認証トークン的なものって、暗号化してます?
UIから発行するときに今しかみれないからね!!ってしてるのと、あとからいつでもみれるのといろいろな気がして
Re:ユーザーパスワードではないところで (スコア:0)
API連携の認証トークン的なものって、暗号化してます?
メールに記載したURLトークンはhttpsですので大丈夫
って回答になったりして
# そこじゃねー
Re:ユーザーパスワードではないところで (スコア:2)
OAuth2.0で広く利用されている JWT 形式のトークンは、
ペイロード自体は暗号化されていません。
ペイロードに有効期限が入っており、ペイロード全体への署名が付加されています。
暗号化することもできますが、あまり実装は見たことがないです。
これと同様に、トークンはAPI利用のためのチケットであって、それ自体に秘匿すべき情報は(通常は)含まれていないなら、暗号化していなくてもちゃんと署名がされていれば安全ではないでしょうか。
(実物を見ていないのでどんな感じかわからず、一般論ですみません)