URLに含まれているIDをそのまま使う場合、ブラウザ上のURLを直接書き換えることで他人の情報を取得できてしまう恐れがあります。 (そもそも他人のIDを知っている必要があるので、ハードルは高い気がしますが…) ■ 管理者用のAPIを一般ユーザーが実行できないようにしましょう 管理者用APIのような重要な処理をするものには権限チェックをつけ、一般ユーザーが呼び出せないようにしましょう。 一般ユーザー用の画面上からは呼び出せなくても、Postmanのようなツールから直接APIを実行できてしまっては本末転倒です。 対応した内容 ■ ユーザーにカスタム属性を付与した AWS Cognitoを使ってユーザー管理をしている場合、カスタム属性にユーザー識別用のIDを含めることで対応が可能です。 AWS Cognito | ユーザープール属性 https://docs.aws.amazon.com/ja_
Amazon CognitoのUser Groupを利用した権限管理について本気出して考えてみた。 パーソルプロセス&テクノロジー株式会社のAdvent Calendar 19日目の記事です。 Azureの記事が多い中ですが、堂々とAWSの記事を書いていこうと思います。 今回は何番煎じかわかりませんが、Amazon Cognitoを利用して役職や階級の概念を持つサービス内の権限管理を行います。 順を追って構築していくので、記事を読み終わった際に 権限管理が可能な環境が構築できる状態 になっていただければ幸いです。 あくまで『権限管理を行う』が目的です。個々の解説は適当なので、公式のドキュメントを合わせて読んでみてください。 不明点あれば質問いただければ返答します(正しい答えが返ってくるとは言っていない。) 最初に Cognitoは、認証認可、またユーザーの管理なども兼ね備えたフルマネージド
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く