「セキュア・バイ・デザイン」に至る道筋

ここまでの道筋（3冊）

1. 1 / 3暗号技術入門 第3版入門

   なぜ先に読むのか: 署名と公開鍵暗号の土台があって初めて、トークンベースの認可を正しく理解できる。OAuth 2.0は権限委譲のデファクトであり、その各グラントとフローを原理から学ぶ。

   出典

   • RFC 6749: The OAuth 2.0 Authorization Framework - IETF
2. 2 / 3OAuth徹底入門上級

   なぜ先に読むのか: OAuth 2.0は本来「認可」のプロトコルで、それを誤用した擬似認証は脆弱性の温床になる。本人確認を標準化したOIDCへ進むことで、IDトークン検証を含む正しい認証の組み立てが分かる。

   出典

   • How OpenID Connect Works - OpenID Foundation
3. 3 / 3OpenID Connect入門上級

   なぜ先に読むのか: 認証・認可を仕組みとして実装できるようになったら、視点を一段上げる。セキュア・バイ・デザインは、入力検証やエスケープという対症療法を越え、設計段階で不正なデータが入り込めない構造を作る発想を与える。

   出典

   • OWASP Proactive Controls - OWASP Foundation