Web認証の土台となる Cookie・セッション・SameSite を実務目線で整理します。Set-Cookie の属性(Expires/Max-Age・Domain/Path)、Secure と HttpOnly が防ぐ脅威、SameSite の Strict/Lax/None の違いと None に Secure が要る理由、サーバー側セッションとログイン後の ID 再生成、SameSite だけで CSRF を防ぎきれない理由、クロスオリジンで Cookie を送る CORS の条件、__Host-/__Secure- プレフィックスまで、MDN・RFC 6265bis・OWASP を一次ソースにまとめます。
JWT(JSON Web Token)を実務目線で整理します。header.payload.signature の3部構造と Base64URL、iss/sub/aud/exp などのクレーム、HS256 と RS256/ES256 の使い分け、検証の流れ、そして alg:none 攻撃・アルゴリズム混同・「JWT は暗号化ではないので中身は誰でも読める」という誤解・失効の難しさといった落とし穴まで、RFC 7519/7515/7518/8725 と OWASP を一次ソースにまとめます。
パスキー(Passkeys)と Web Authentication API(WebAuthn)の仕組みを、公開鍵暗号・登録/認証セレモニー・フィッシング耐性の観点から整理します。なぜパスワードより安全なのか、管理画面に導入するときの判断材料(復旧手段・MFAとの違い)まで、実装目線でまとめます。
オープンソースのFirebase代替として急成長を続けるSupabaseを徹底解説。PostgreSQL/Auth/Storage/Realtime/Edge Functions の主要機能、Next.js での実装サンプル、Row Level Securityの仕組み、2026年新機能(pg-deltaの宣言的スキーマ管理、PostgREST自動リトライ)から、Firebaseとの料金・アーキテクチャ・選定基準の違いまで、現場で必要な情報を網羅します。
WordPress 標準の REST API(/wp-json/wp/v2/)を徹底解説。基本エンドポイントの一覧、Application Passwords / Cookie + X-WP-Nonce / JWT などの認証方法、register_rest_route によるカスタムエンドポイント実装、Next.js でのヘッドレスCMS活用、ユーザー列挙やCSRFなどのセキュリティ落とし穴まで、実装サンプル付きで網羅します。