[B! api] griefworkerのブックマーク

令和時代の API 実装のベースプラクティスと CSRF 対策 | blog.jxck.io

Intro CSRF という古の攻撃がある。この攻撃を﹁古(いにしえ)﹂のものにすることができたプラットフォームの進化の背景を、﹁Cookie が SameSite Lax by Default になったからだ﹂という解説を見ることがある。確かに、現実的にそれによって攻撃の成立は難しくなり、救われているサービスもある。しかし、それはプラットフォームが用意した対策の本質から言うと、解釈が少しずれていると言えるだろう。今回は、﹁CSRF がどうして成立していたのか﹂を振り返ることで、本当にプラットフォームに足りていなかったものと、それを補っていった経緯、本当にすべき対策は何であるかを解説していく。結果として見えてくるのは、今サービスを実装する上での﹁ベース﹂(not ベスト)となるプラクティスだと筆者は考えている。 CSRF 成立の条件例えば、攻撃者が用意した attack.examp

griefworker 2024/04/30

api
security

リンク

neue cc - Claudia - Anthropic ClaudeのC# SDKと現代的なC#によるウェブAPIクライアントの作り方

Claudia - Anthropic ClaudeのC# SDKと現代的なC#によるウェブAPIクライアントの作り方 2024-03-18 AI関連、競合は現れども、性能的にやはりOpenAI一強なのかなぁというところに現れたAnthropic Claude 3は、確かに明らかに性能がいい、GPT-4を凌駕している……！というわけで大いに気に入った︵ついでに最近のOpenAIのムーブが気に入らない︶ので、C#で使い倒していきたい！そこで、まずはSDKがないので非公式SDKを作りました。こないだまでプレビュー版を流していたのですが、今回v1.0.0として出します。ライブラリ名は、Claudeだから、Claudiaです！.NET全般で使えるのと、Unity(Runtime/Editor双方)でも動作確認をしているので、アイディア次第で色々活用できると思います。 GitHub - Cyshar

griefworker 2024/03/18

c#
api

リンク

令和時代のページネーションを考える (REST API編) - Sweet Escape

今回はバックエンドAPIでページネーションをどうやるかについての話なので、よくある無限スクロールUIのようなフロントエンド側の実装に関する話はしない。あくまでもAPI、もっと言えばRESTfulなAPIのリクエスト・レスポンスにおけるページネーションの話。本気で深く考えるというよりざっくり検討したときの話です。はじめに REST APIを実装するにあたってリスト系のAPIを提供する場合に必須といっても過言ではないのがページネーション。大量のリソースをレスポンスする場合にそれらを一気に返してしまうことは応答速度、転送量、クライアントサイドでの扱いづらさなどなどに繋がるので必須と言える。最近、新たなAPIを開発するにあたってページネーションをする必要があったこともあり、今回はこのページネーションをどうやって提供するか整理して改めて検討してみた。前提 TypeScript Nest.js

griefworker 2024/01/11

リンク

RESTFulなAPIとCSRFとその対策 - シアトル生活はじめました

Cross-Site Request Forgery（クロスサイトリクエストフォジェリー）って何？頭文字をとって「CSRF」ですが、出来るだけ平たく説明すると「悪いヤツが作ったサイトから読み込んだHTMLやらスクリプトが、勝手に別のサイトにHTTP POSTのリクエストを送信して、知らない間にそのサイトにある自分のデータなどを変更される」といった感じになるかな。データの中には重要なデータもあるでしょう。Amazonで欲しい物リストがあったとして、それが全部勝手に「購入」されたら困りますよね。銀行の口座から別の口座にお金が入金されても困ります。（もちろん、Amazonや銀行のサイトなどではCSRF対策がしっかりと施されているでしょうから、大丈夫！・・っであることを祈る） Cross-site とは二つのウェブサイトを跨いでること。サイトのひとつは当然「悪いヤツのサイト」でもうひとつは

griefworker 2022/07/27

リンク

Idempotency-Key Headerを使ったリトライと、オンラインイベントの"Kaigi感" - inSmartBank

去る2021年10月23日に開催されたKaigi on Rails 2021にて、弊社の@ohbaryeが "Safe Retry with Idempotency-Key Header" というタイトルで発表してきました。発表スライドはSpeakerDeckにて公開済みです。後日アーカイブ動画も公開されるとのことですのでそちらも是非ご覧頂きたいのですが、おとなしく30分の動画を視聴できるほど現代人は暇じゃないですよね。なので本記事の前半では忙しい人のために発表内容を1/10ぐらいの密度で解説してみます。 (2021-10-31追記) 動画が公開されました 🎉 www.youtube.com (2021-10-31追記おわり) ただ、それだけでは配信動画をすでに視聴いただいた方への新規情報がゼロになってしまうので、後半では発表に関していただいたtweet・質問・感想へのコメントへのリ

griefworker 2021/11/05

リンク

C# から Azure の Log Analytics にクエリを投げる

ここを見ながらやっていきます。コンソールアプリプロジェクトに以下の参照を追加します。 Microsoft.Azure.OperationalInsights Microsoft.Rest.ClientRuntime.Azure.Authentication アプリ内にキーやらなんやらを埋め込むと、めんどくさいので今回作る例ではユーザーシークレットから読み込むようにしておこうと思います。なので以下のパッケージも追加しておきます。 Microsoft.Extensions.Configuration.UserSecrets Microsoft.Extensions.Configuration.Binder ユーザーシークレットには以下のような感じのデータがあることを想定して置く感じでコードを書いていきましょう。 { "WorkspaceId": "", "ClientId": "", "Cl

griefworker 2021/08/20

リンク

SwaggerのAPI定義からPDFドキュメントを生成する

前回はASP.NET CoreのWeb API プロジェクトにSwaggerを組み込んでAPIのドキュメントをブラウザ上に表示させるところまで実行しました。これはこれで手軽にAPIの仕様を確認出来て便利なのですが、受託開発の際の納品物としてお客様に渡すには少し不便です。﹁納品は紙︵PDF︶で﹂と言われる事がまだありますよね？ブラウザに表示されているものを印刷して渡してしまっても良いかもしれませんが、それだと今ひとつ見栄えが良くないので出来ればもう少しきれいなPDF文書を自動生成したいところです。そこで調べたところ、次のような事が分かりました。 ● swagger2markup-cli を使えばSwaggerが生成するJSONファイルから静的なHTMLやMarkdown、AsciiDoc形式のドキュメントなどを生成する事が出来る。 ● asciidoctor-pdf を使えばAsciiD

griefworker 2021/04/27

リンク

会計フリー Public API史上初の新バージョン移行を完遂しました - freee Developers Hub

こんにちは、freeeのPublic APIチームでエンジニアをしているまっつーです花粉症ですごい鼻水が出るので少しくらい体重落ちてるんじゃないかと期待してます去年の6月15日、会計freeeのPublic APIは新バージョンを公開しました developer.freee.co.jp この新バージョンでは約30個の破壊的変更を含んでいますそして去年の12月、会計freeeのPublic APIは半年間の並行運用期間を経て、新バージョンへの完全移行を達成しましたこの記事では後方互換性を保ち、既存ユーザーに影響を与えないことと、APIの負債を解消しより使いやすいAPIへと進化させることを両立するために、どのように工夫して進めたのかをお伝えしたいと思います破壊的変更とは Public APIはそれを使って開発や業務を行っている方がいるため、変更する時には後方互換性を担保しすべての利用

griefworker 2021/03/18

リンク

APIに利用制限をかけるとしたらどういうやりかたがあるのか - おもしろwebサービス開発日記

この記事はSmartHR Advent Calendar 2020 11日目の記事です。僕のお手伝いしているSmartHRでは、毎週バックエンドエンジニアが集まり、技術的なトピックについて共有、相談しあうミーティングを開催しています。そのミーティングでは僕がTipsなどを共有するコーナーが常設されています*1。このエントリでは、そのコーナーで共有した内容をひとつ紹介します。 APIに制限をかける方法について APIを外部に提供するとき、一定の制限をかけてユーザがAPIを乱用するのを防ぐことはよくあることではないでしょうか。素直に考えると﹁1時間に5000回までAPIを実行できる﹂のようなやり方を思いつきますね。GitHubのAPIもそのやり方ですし、SmartHRのAPIも同様です。じゃあそれでいいのでは。となるかもしれませんが少し待ってください。いろんなクライアントがAPIを大量に

griefworker 2020/12/16

リンク

RESTful API設計におけるHTTPステータスコードの指針 - Qiita

RESTful APIを設計した際のステータスコードの指針です。メソッド別 GET 成功した場合 200 OK‥最も一般的 304 Not Modified‥条件付きGETでキャッシュを使わせたい場合 POST 成功した場合 201 Created 作成したリソースのURIを示すLocationヘッダを付けておく議論 200 OKだとまずいのか？ 200 OKを応答する実装も多くあり、まずいというわけでもない 200 OKはPOST結果がキャッシュ可能、201 CreatedはPOST結果がキャッシュ不可能として分けてもいいが、そこまでする必要があるか？︵POSTのキャッシュは一般的ではない︶ 204 No Contentだとまずいのか？クライアントがPOST結果を事前に全て知っているわけではないのでNo Contentは不親切では？失敗した場合 409 Conflict‥作成しよ

griefworker 2020/01/22

リンク

HTTPステータスコードを適切に選ぶためのフローチャート : 難しく考えるのをやめよう | POSTD

HTTPステータスコードを返すというのはとても単純なことです。ページがレンダリングできた？よし、それなら 200 を返しましょう。ページが存在しない？それなら 404 です。他のページにユーザをリダイレクトしたい？ 302 、あるいは 301 かもしれません。 I like to imagine that HTTP status codes are like CB 10 codes. "Breakerbreaker, this is White Chocolate Thunder. We'vegot a 200 OK here." — Aaron Patterson (@tenderlove) 2015, 10月7訳‥HTTPのステータスコードのことは、市民ラジオの10コードみたいなものだと考えるのが好きです。﹁ブレーカー、ブレーカー、こちらホワイト・チョコレート・サンダー。200

griefworker 2020/01/22

リンク

Google Drive REST API v3 for Android完全ガイド｜toconakis.tech

簡単にGoogle DriveにアクセスできたGoogle Drive Android APIがdeprecatedとなり、2019年12月6日には接続が出来なくなります。代わりにGoogle Drive REST APIへの変更が案内されています。 (https://developers.google.com/drive/android/deprecation) この記事では、現在最新のGoogle Drive REST API v3 をAndroidに実装する手順を丁寧に解説していきます。 1. 開発コーンソールでGoogle Drive APIを有効化 Google開発コンソールにログインをして、Google Drive APIを有効化します。まだプロジェクトが1つも無い場合は、作成してください。 https://console.developers.google.com 2.

griefworker 2019/09/18

リンク

commit以外の数値でも草を生やせる、PixelaというAPIサービスを作った！ - えいのうにっき

作りました！ pixe.la これはなに？お好きな数値を登録、その登録された数値情報に基づいて、アレのあれっぽくグラフを作れるサービスです！アレのあれってのは、これのコレ↓っぽいやつです！ ↑commit回数をグラフにした場合のイメージ。 ↑プロダクトのデプロイ回数をグラフにした場合のイメージ。 ↑体重の変動︵前日比︶をグラフにした場合のイメージ。どうやって使うの？ Pixela は、サービスのトップページ以外は全部 Web API のみで構成されるサービスです！なので、ユーザー登録からなにから、全部 API でおこないます！ $ curl -X POST https://pixe.la/v1/users -d '{"token":"thisissecret", "username":"a-know", "agreeTermsOfService":"no", "notMinor":"

griefworker 2018/11/19

リンク

[C#] Amazon Product Advertising API の利用（REST サンプルコードの修正） – プログラミング生放送

C# で Amazon Product Advertising API の利用方法です。この API は商品情報とアフィリエイト（アソシエイト）用の URL が取得できます。Amazon の開発者向けサイトからダウンロードできるサンプルコードが古いので修正します。アソシエイトタグ、Access Key ID と Secret Access Key の取得最初に API 呼び出しに必要なキーの取得概要だけ紹介します。 Amazon アソシエイトのアカウントの作成し、***-22 という形式のアソシエイトタグ（トラッキング ID）を取得します。さらに、アソシエイトのホームの「Product Advertising API」タブから Amazon Web Services アカウントを作成します。最終的に、Amazon Web Services の IAM Management Con

griefworker 2018/08/19

amazon
api

リンク

Amazon Product Advertising API 用のクライアントライブラリをつくっている - ✘╹◡╹✘

Amazon Product Advertising API とは Product Advertising API は、Amazon の商品情報や関連コンテンツをプログラムを通してアクセスできるサービスを提供することで、Web 開発者の皆様が、ご自分の Web サイトでAmazon の商品を紹介することによる紹介料の獲得を可能とします。 https://affiliate.amazon.co.jp/gp/advertising/api/detail/main.html 要は、Amazon のアソシエイトを使って商品を宣伝する目的で、Amazon の商品情報を API 経由で操作することができるサービスが提供されている。この記事は、この API を Ruby から利用するためのライブラリをつくっているという話。 GitHub ソースコードは GitHub で管理されている。ライブラリのAP

griefworker 2018/08/17

リンク

API 設計ガイド | Cloud APIs | Google Cloud

フィードバックを送信 API 設計ガイドコレクションでコンテンツを整理必要に応じて、コンテンツの保存と分類を行います。変更履歴はじめにこれは、ネットワーク API の一般的な設計ガイドです。2014 年以来 Google 内部で使用され、Cloud API やその他の Google API を設計するときに Google が従うガイドです。この設計ガイドは、外部のデベロッパーへの情報提供と、互いの連携作業の効率化のためにここで共有されています。 Cloud Endpoints のデベロッパーには、このガイドは、gRPC API を設計するときに特に役立つことがあり、そのような場合にはこれらの設計原則を使用することを強くおすすめします。ただし、このガイドの使用は必須ではありません。Cloud Endpoints と gRPC はガイドに従わなくても使用できます。このガイドは、gR

griefworker 2018/04/05

リンク

API デザイン : URL には名前と識別子のどちらを使うべきか | Google Cloud 公式ブログ

ウェブ API の設計に携わっている方であれば、API で使う URL のスタイルに統一的な考え方がないことも、選択した URL スタイルが API の使いやすさや寿命に大きな影響を与えることも、よくご存じでしょう。Google Cloud の Apigee チームは、社内だけでなくお客様とも協力しながら、API の設計について長く検討を行ってきました。本稿では、私たちが設計の現場で実際に使用している URL のデザインパターンと、それを使う理由についてシェアしたいと思います。著名なウェブ API をご覧になれば、いくつかの異なる URL パターンがあることに気づかれるはずです。次に示すのは、極端に異なる考え方に基づいた2つのスタイルの具体例です。 https://ebank.com/accounts/a49a9762-3790-4b4f-adbf-4577a35b1df7 htt

griefworker 2017/11/14

リンク

Swagger+JSON SchemaでAPIの型をテストして開発サイクルをスピードアップさせた話 - pixiv inside

CTO兼福岡オフィス立ち上げ担当として新アプリを作っている@edvakfです。 JSON APIを開発しているとこういう問題がありがちですよね。仕様どおりにAPIの形式を作ったはずだけどなんか自信が持てないテストでいくつかのキーが存在するかの簡単なチェックはしてるつもりだけど、全部チェックするのは大変すぎる APIのControllerやViewをリファクタリングしたらレスポンスの形が変わってアプリがめっちゃクラッシュし始めたというのが怖くて誰もリファクタリングできなくなった APIドキュメントがメンテされない知らない間にレスポンスのフィールドが増えてたけどドキュメントに書いてないこれらを解決したい！と思って試行錯誤したら、スマートに解決することができました。この記事ではRailsのことについて書きますが、考え方は他の言語・フレームワークでも同じです。なお、今回使ったgemのバ

griefworker 2017/09/19

リンク

LDRがサービス終了のため、Inoreader/Feedlyをバックエンドに動くRSSリーダを書いている

LDRがサービス終了のため、Inoreader/Feedlyをバックエンドに動くRSSリーダを書いている追記: 1.0.0を出して説明を書き直したので、Irodrを使いたい方はLDRライクなRSSリーダのIrodr 1.0.0をリリースした | Web Scratchを参照してください。 2017年8月31日をもってLDRはサービス終了です。乗り換え先となるRSSリーダを探したりしましたが、求めるものを見つけることができなかったので作ることにしました。︻重要︼Live Dwango Reader/LDR Pocketサービス終了のお知らせ｜LDR / LDRポケット開発日誌次の記事でも書いていましたが、RSSリーダのバックエンドを自前で管理するのはコスト的に難しそうでした。そのため、バックエンドとしてInoreaderやFeedlyのAPI使ったRSSリーダのウェブクライアントを書

griefworker 2017/09/04

リンク

はてなブックマーク

タグ

関連タグで絞り込む (38)

apiに関するgriefworkerのブックマーク (50)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス