おはようございます、ritouです。 今年も Firebase Authentication や Auth0 とか沢山使われると思いますが、去年からよく聞かれる件をざっくりと書いておきます。 ID Tokenってセッショントークンとして使っていいんですよね？ 例えばこちらの記事を見てみ…

そのIDTokenの正体はセッショントークン？それともアサーション？

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブ…

怖くないネイティブアプリケーションにおけるID連携機能を実装するための考え方

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこ…

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略…

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方

おはようございます。 ritouです。 昨日はこれでした。 idance.connpass.com 資料は公開され次第追加予定です。 人の入り具合 前日当日のキャンセルもいくらかあったものの、みなさん来ていただいてありがたかったです。 懇親会参加者は予想+3人ぐらいの健全…

iddance 2回目やってきました。

おはようございます、ritou です。 昨日はこういう勉強会で話してきました。 web-study.connpass.com 私は WebAuthn をサービスに導入するときに何を考えるべきか、というお題をいただいたのでリカバリーとかリカバリーとかリカバリーの話を中心に細かい仕様…

webauthn_study という勉強会で話してきました。

お疲れ様です、ritouです。 今年も話してきました。 builderscon.io #builderscon このあと14:30~ 発表します。「WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~」https://t.co/PhlsRt1YO2— 秋田の猫 (@ritou) August 30, 2019 資料を作っ…

builderscon tokyo 2019にて WebAuthn について話しました

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということで…

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の特定の脆弱性を防いだりするために作られ…

Transactional Authorization - "XYZ"と呼ばれる認可プロトコルとは

おはようございます、ritou です。 様々なご都合によりGitHubでTwo-factor authenticationってのを設定している方も多いでしょう。 時に人間は、記憶もスマホも財布も一気に無くしてしまいます。 リカバリー方法を複数用意しておくにこしたことはありません…

GitHub で使われている Facebook の Delegated Account Recovery とは(概要編)

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する

こんにちは、ritouです。 不正ログインが起こらない平和な世界を目指す 開発者です(意識高い)。 ちょっと前に「決定！」というプレスリリースに「決定！お、おぅ...」となったことから全てが始まりました。 【#ヌーラボプレスリリース】#ヌーラボ が提供する…

ヌーラボアカウントのWebAuthn/FIDO対応をチラ見する

おはようございます、ritouです。 ちょっと前から少しずつ作ってたのやつの途中経過です。 CIBAについてはこの辺りの記事をどうぞ。 ritou.hatenablog.com ritou.hatenablog.com 今回やりたいこと CIBAの認証フローをデモできる環境を作りたいなーと思ってい…

CIBAの認証フローを体験するためのWebアプリ(途中経過)

こんばんは、ritouです。 タイトルの通り、ちょっと書きました。 gihyo.jp 「WebAuthn」が導く新時代のパスワードレス認証 【前編】FIDOとWebAuthnが変えるもの …… いとうりょう 6月号では前編として、今使われている認証方式とFIDOの違い、WebAuthnの概要と…

Software Design 6月号にWebAuthnなど認証についての記事を書きました

こんばんは、ritouです。 来月の話ですが、こんなのをやります。 idance.connpass.com Digital Identityの勉強会といえば idcon ってのがあります。 idcon.org 最新の技術トレンド、トピックについて最高レベルの情報が集まり、議論される場と言っても過言で…

Identity Dance School ってのはじめます。初回は5/29で技術書典特集！

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I beli…

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは

おはようございます、ritouです。 こんなTweetを見かけたので試してみました。 Google へのログイン時にセキュリティを高める二段階認証で、セキュリティキーの代わりに自分のAndroidケータイを使えるようになりました // Android 7以上のスマホ、Googleアカ…

Android端末をGoogleの2段階認証のセキュリティキーとして使ってみる

ritouです。 前に概要編を書きました。 ritou.hatenablog.com この続き、具体的なリクエスト/レスポンスについてはこの記事に書いてあるじゃん。 もうこれ読めばいいのでは? ｽﾔｧ...としばらく過ごしてました。 qiita.com そして先日、OpenID TechNightという…

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 詳細もとい感想編

夜分遅くに失礼いたします。ritouです。 こういう記事を読むとうずうずします。おそらく病気です。 terut.hatenablog.com 森羅万象を担当しているわけではないので、OAuth/OIDCが使えんのか？って観点から書いておきます。 ファーストパーティーのOAuth/OIDC…

ファーストパーティーなアプリが使うOAuth/OIDCについてのお話 2019 春

こんばんは、ritouです。 こちらでお話してきました。 droidkaigi.jp 資料は話す前に上げました。 このあと話します！Chrome + WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題Room 6 － 2019/02/07 17:10-17:40 https://t.co/EBu7G9X…

DroidKaigi 2019 にて WebAuthn のお話をしてきました

ritou です。 年末ですが、一年を振り返るエモいポエムを書く気はさらさらないのでいつも通りです。よろしくお願いします。 今年は WebAuthn が話題になりました。 来年はブラウザの対応も進み、本格的に導入してくるサービスも増えてくるかと思います。とい…

メアドなどのスクリーニング対策を意識しつつ WebAuthn のログインフローを考える

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

OAuth 2.0 の Implicit grant 終了のお知らせ

こんばんはこんばんは ritou です。 それは突然の出来事でした。 光らない YubiKey 諸事情により ResidentKey を使った navigator.credentials.create() を何回も何回も何回も何回もしていたら、ある時から ResidentKey を使った navigator.credentials.crea…

まんぷくになった YubiKey を YubiKey Manager でリセットしたメモ

どーもどーもどーも。ritou です。 下書きのまま放置してました。 WebAuthnを実サービスに導入しようとしたらどこでつまづくんやってのを考えて来ましたが、ここまではわりと無難な設計に落ち着いている気がします。 【ゆるゆるとパスワードレスなUXを検討】…

【ゆるゆるとパスワードレスなUXを検討】(3) 新規アカウント作成時に WebAuthn Authenticator の登録

ritouです。 今回はアメブロで言うところのリブログ的な何かです。 おっさん、昨日の夜にこれ読みました。 blog.haniyama.com ResidentKeyの使い所 userVerification オプションの指定に "UserVerificationイラネ" はない platform な Authenticator で User…

「Webauthn における ResidentKey について」 について

どーもどーも、 ritou です。 この記事は 【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録 - r-weblife の続きです。 こいつ、既存アカウントへのAuthenticator の登録、ログイン、新規アカウント登録、決済みたいな重要な処理の…

【ゆるゆるとパスワードレスなUXを検討】(2) WebAuthn Authenticator でログイン

どーも、ritou です。 先日、こんなイベントに参加しました。 fido2-workshop.connpass.com 10/3&4の FIDO イベント、「fidcon 勝手に Meet up!」&「WebAuthnもくもく会」まとめ #idcon #fidcon - Togetter https://t.co/6Xima0AxDM via @togetter_jp— nov m…

【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

Authlete の OAuth 2.0 / OIDC 実装ナレッジ 完全に理解した

おはようございます。ritou です。 builderscon tokyo 2018 にて WebAuthn のさわりの話をした時に、「OAuth / OpenID Connect」 との関係について質問がありました。 この質問に限った話ではありませんが、"認証のための技術" なんていうと、認証方式、認証…

OpenID Connect のあれが WebAuthn のこれになったらどうなるかって話