APIセキュリティチェックリスト(APIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリスト)
API Security Checklist
GitHubのトレンドリポジトリを眺めていたらAPIセキュリティチェックリストというものがあった。
日本語訳も最近追加されたみたい。
API-Security-Checklist/README-jp.md at master · shieldfy/API-Security-Checklist · GitHub
内容は、
API Security Checklist
これはAPIの設計, テスト, リリース時における、重要なセキュリティ対策チェックリストです。
認証(Authentication)
Basic認証を使用してはならない。標準的な認証を使う。(例 JWT, OAuth)認証,トークン生成,パスワードの保管において車輪の再発明をしてはならない。最大ログイン試行回数(Max Retry) と、jail featuresを使用する。- 全ての秘匿情報を暗号化する。
JWT (JSON Web Token)
- ブルートフォース攻撃を困難にするため、ランダムで複雑なキー (
JWT Secret) を使用する。- ペイロードからアルゴリズムを抽出してはならない。必ずバックエンドで暗号化する。(
HS256若しくはRS256)- トークンの有効期限 (
TTL,RTTL) は、可能な限り短くする。- JWTのペイロードに秘匿情報を含めてはならない。それは簡単に復号化される。
OAuth
- サーバサイドで常に
redirect_uriを検証し、ホワイトリストに含まれるURLのみを許可する。- tokenではなく、codeでのやり取りを心がける。(
response_type=tokenを許可しない)- OAuthの認証プロセスでのCSRFを防ぐため、
stateパラメータはランダムなハッシュと合わせて使用する。- デフォルトのscopeを指定し、各アプリケーションでscopeパラメータを検証する。
…省略…
みたいなことが書いてあるので参考になるかも。
補完、ハイライトが効くHTTP Prompt対話型クライアントを使ってみる
- http-prompt
- インストール
- 使い方
- 操作例1
- 操作例2
- その他の操作例
http-prompt
github.com
HTTP Prompt - An interactive command-line HTTP client(公式ページ)
HTTP Promptは自動補完、シンタックスハイライトが効くインタラクティブなコマンドラインHTTPクライアント。
説明に書いてあるようにHTTPie (HTTPクライアント)+ prompt_toolkit(インタラクティブコマンドラインライブラリ)のようなツール。
prompt_toolkitを使ったツールには下記ツールもある。
wonderwall.hatenablog.com
wonderwall.hatenablog.com
Pythonメモ : fakerでテストデータを生成する
- faker
- インストール
- 使い方:コマンド
- 使い方:コード
faker
fakerというPythonパッケージを使用するとテストデータを簡単に生成することができる。PHP Faker, Perl Faker, Ruby Fakerにインスパイアされたとのこと。
