APIリクエスト署名:落とし穴とベストプラクティス
2025-02-09
この記事では、APIリクエスト署名のセキュリティ上の課題、特にJSONオブジェクトの署名の難しさについて詳しく説明しています。著者は、単純なHMAC署名は安全である一方で、JSONオブジェクト内で直接署名すると、JSONの複数の等価表現によって署名検証が失敗するなど、さまざまな問題が発生する可能性があると指摘しています。この記事では、JSONの正規化、冗長な署名データの追加、代替形式の使用など、さまざまな署名方法を比較・分析しています。AWSやFlickrの署名スキームの例を通して、不適切な実装によるセキュリティリスクが示されています。最終的に、著者はTLSを優先し、JSON内でのインライン署名を避けて、代わりに外部署名を使用することを推奨しています。