IT製品導入に関する技術資料を多数掲載 ホワイトペーパーダウンロードセンター
セキュアなAPI公開に欠かせない「OAuth 2.0」、意外に多い不適切な実装例とは
今日、FinTechサービスではAPI連携によって、認証情報を直接やりとりすることなく、金融機関にアクセスできる仕組みが構築されている。このAPI連携を支えるセキュリティ技術である「OAuth 2.0」の実装において重要なポイントとは?
コンテンツ情報
| 公開日 | 2020/07/08 | フォーマット | 種類 | 製品資料 |
|
|---|---|---|---|---|---|
| ページ数・視聴時間 | 37ページ | ファイルサイズ | 1.71MB | ||
要約
FinTechサービスの拡大要因の1つは、認証情報におけるAPI公開だ。企業を介して金融機関に認証を行う際、従来はWebスクレイピング技術が用いられたが、認証情報が外部に漏えいする危険性があった。しかし、アクセストークンにより安全なAPIアクセスを可能にするセキュリティ技術「OAuth 2.0」の登場で、金融分野のみならず他分野でもAPI連携が進んでいる。
ただ、OAuth 2.0を使っていればセキュリティは万全かといえば、そうはいかない。OAuth 2.0はあくまでフレームワークであり、認証やユーザー管理、アクセストークン管理は仕様の範囲外で、パラメータの使い方など実装の自由度も大きい。つまりは、適切に実装できなければ安心はできないのだ。
とはいえゼロから適切に作り込むのは容易ではない。そこで、本資料では、OAuth 2.0を解説するとともに、その適切な実装を実現するAPI管理基盤を紹介している。API開発者のサポート、負荷分散やアクセス制御、APIの一元管理など、多様な機能でAPI活用を加速できるという。
ただ、OAuth 2.0を使っていればセキュリティは万全かといえば、そうはいかない。OAuth 2.0はあくまでフレームワークであり、認証やユーザー管理、アクセストークン管理は仕様の範囲外で、パラメータの使い方など実装の自由度も大きい。つまりは、適切に実装できなければ安心はできないのだ。
とはいえゼロから適切に作り込むのは容易ではない。そこで、本資料では、OAuth 2.0を解説するとともに、その適切な実装を実現するAPI管理基盤を紹介している。API開発者のサポート、負荷分散やアクセス制御、APIの一元管理など、多様な機能でAPI活用を加速できるという。