WSSE認証
例のRESTのナイスな記事ですが、その5でつまずく。
まず、WSSE認証が分からないので 検索。
いまいち日本語でのまとまった説明が見つからない(僕の能力ではサクッと探れない)のですが、取りあえず以下を参照
WSSE とは何か?簡単に書くと「パスワードと日時とセキュリティトークン(ランダム値で良さそう)を SHA1 でハッシュしたもの」。WSSE認証とは? : experiment
SHA1って何?
これはwikipediaに当たってみたところ、「SHA(シャー)といってMD4というアルゴリズムを元にして開発されたハッシュ関数(の一群)があるのだが(MD4もハッシュ関数の一種)、そのうちでもっともよく使われる関数のこと」らしい。要するにこれはめちゃめちゃさくっと言えば「(セキュリティのために)文字列を暗号化するための技術でアメリカの政府機関によって開発されているもの」と理解しておけばよいみたいだ(多分だいたいそんなかんじ多分おそらく)。
SHAはSHA0,SHA1,SHA2の3種類があり、古いのが0。MD4とかMD5も含めた概略は取りあえずこの辺を参照。MD4MD5はRSA社(ここも参照。)の開発。ちなみにSHA1は既に脆弱性が見つかっており(2005年に発見)現段階ではより安全とされるSHA2への移行が計画されているという話も出てきた。が、取りあえず混乱するのでそれは置いておこう。すごい重要な話だと思いますが。
ていうか、
上で引用したエントリーが参照したのってこれかw
WSSE認証
素直にはてなを読めば良かったらしいw
つーことで、はてなアカウントをとって試せばサクッと分かるのかしらん。取りあえず多少勉強になったしあんまりここで唸っているわけにもいかないので(こういう話になるとかなりきつい。徐々に頑張りマウス)、続きは宿題にします。(ちなみに上のリンク先、はてなフォトライフAtomAPIのページのWSSE認証のところからIBMの英語文書へと貼られている参照リンクは切れちゃってるみたいで参照不能でした。)
以下のリンク集も宿題で読むことにするので有り難く引用させて頂いておきます。(とかしておかないと忘れそう。)
以下、有益なページへのリンク。
- 情報セキュリティ入門:ITpro
- Life is beautiful: WSSEのセキュリティリスクとその対処法に関する一考察
- Atom APIのWSSE認証について - こせきの技術日記 - 技術日記
- Webサービスのセキュリティ仕様に決定版が登場:ITpro
- [観] Atom API メモ
- @IT:特集 次世代XML Webサービスを試す Part 2 1.WS-SecurityとWeb Services Development Kit
- たけまる / Catalyst::Controller::Atompub - 認証
- Atom APIのWSSE認証について - こせきの技術日記 - 技術日記
WSSE認証とは? : experiment
