木木木

Swift / Ruby on Railsなどの学習メモ。


アクセストークン

サーバサイドプログラムとスマホアプリを連携するにあたり、
セキュリティをどう担保していくかの勉強中です。
これであってるのかな?
違ってたら教えていただけると助かります。

ログイン

スマホからサーバーに、ID / Pass を送ると、
サーバーからアクセストークン(文字列) を返す。

その後の通信

アクセストークンをHTTPヘッダーか、パラメータに入れて通信する。

アクセストークンを使うメリット

ID / Passwordを通信毎にサーバーに送る必要がない。
  • 通信を傍受されてもID / Passは流出しない。
  • ユーザーが同じID / Passを使用している他サービスへ被害が波及することを防ぐ。
  • ID / Pass認証なしで通信できる期限が設定できる。

アクセストークンが傍受されてしまった場合

ユーザーなりすましができてしまう

=> 判明時点でアクセストークンをリセットするべし

この本読んでます。

体系的にまとまってる本ってあんまないので助かってます。

日本で一番簡単にビットコインが買える取引所 coincheck bitcoin