10章アプリケーション認証
この章では、以下の内容を扱う。
- ログイン認証ロジックを設計する。
- Passport.jsライブラリを使って、ユーザーを認証し、セッションベースまたはトークンベースの戦略を管理する。
- JSON Webトークンを使って、APIアクセスの認証を行う。
この章では、Nodeアプリケーションの認証ロジックを作成する。どのような種類のアプリケーションを作成するにしても、ユーザー認証は、アプリケーションデータを保護するうえで不可欠な要素であることに変わりはない。インターネットのアクセシビリティと可用性の拡大に伴い、アプリケーションも攻撃に対してより脆弱になってきた。
アプリケーションは、メールアドレスとプレーンテキストパスワードによる本人確認から、長い道のりを歩んできた。ほとんどのアプリケーションは、基本的な暗号化やハッシュ化関数を実装し、ハッシュ化されたパスワードだけを保存してきた。そのほかに、多要素認証(MFA:Multifactor Authentication)を使ってセキュリティを新たなレベルに引き上げたものもあり、そのようなアプリケーションでは、ユーザーの携帯電話や電子メールに送信された追加コードを使ってアカウントを確認した場合にのみ、パスワードでログインすることができる。
毎年、技術コミュニティはユーザーセキュリティと認証の新たな問題に直面しており、多くの企業はその解決のために専門チームに投資している。幸いなことに、ほとんどの企業は顧客のアカウントデータを保護することに共通の関心を持っており、その結果、新規アカウントの作成や受信したリクエストの処理に関する業界標準が確立されている。これらのベストプラクティスは、標準的なWebページだけでなく、モバイルクライアントや、UIログインフォームを持たないAPI(アプリケーションプログラミングインターフェイス)にまで広がっている。以下のセクションでは、認証システムを作成し、改良を繰り返しながら、これらの一般的な認証戦略を実現していく。 ...
Become an O’Reilly member and get unlimited access to this title plus top books and audiobooks from O’Reilly and nearly 200 top publishers, thousands of courses curated by job role, 150+ live events each month,
and much more.
Read now
Unlock full access