おはようございます、ritou です。 2週間ぐらい後に、こんな勉強会をやります。 idance.connpass.com 聞く対象としては初学者〜慣れてきたぐらいの人、話す方は使ってみた/本書いた/仕事で実装してみたぐらいの人を想定して開催してた勉強会ですが、オンライ…

10/27に "iddance Lesson3 TwitterのOAuth 2.0とかCIBAの使い所を知ろうの会" やります

こんにちは、ritouです。 私は以前からこういうTweetをしていました。 エヴァンジェリストたるもの、日頃の研鑽を欠かさないのである… pic.twitter.com/5moTCOe6CF— 秋田の猫 (@ritou) 2019年1月4日 このような日々の努力の結果、いわゆる「RFC番号が飛び交…

OAuth 2.0等のRFC番号が飛び交う会話についていくためのカード [PR]

おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足し…

ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021

こんばんは、ritouです。 いつもお友達同士でキャッキャウフフさせていただいているTwitterにてこんな投稿をしたところ、珍しくたくさんの反応をいただけました。 ピッコマって漫画サービス、前回のログイン方法を覚えて教えてくれる。ソーシャルログイン実…

NASCAR problemを軽減できるかもしれない簡単な実装とさらなる妄想

おはようございます、ritouです。 こういう記事を読みました。 lab.astamuse.co.jp Webアプリケーションでセキュリティ対策のためにランダム文字列な文字列する場面が多々あります。例えば CSRF対策のトークン OAuthやOpenIDに使用するnonce, state メールの…

セキュアなトークンへのJWT適用について

おはようございます ritou です。 8月ですよ。お仕事の進捗大丈夫ですか？ 最近、Google方面からDecoupled AuthNの香りがしたので追ってみました。 何の話? この話です。 developer.chrome.com WebOTPとは? Webアプリケーションがモバイル端末でSMS経由のOTP…

Chrome 93で実装されたCross Device WebOTPフローを試してみた

こんにちは、ritouです。 こんな記事を見かけました。 internet.watch.impress.co.jp Amazonをかたるフィッシングが報告全体の35.8％を占め、特にSMSによるものが多かった。同協議会では、SMSではメールよりも本物と誤解したり、ついアクセスしたりしやすい…

フィッシング被害が多発しているというAmazonからのセキュリティ通知の仕様の危うさ

今回は、FIDOアライアンスからUXのガイドラインが出ているので紹介します。 一言で言うとMacとかiOSとかAndroidとかWindowsの生体認証が使えるデバイス上でWebアプリを使ってるユーザーに対して、新規登録/ログインフローのなかでをどうやってデバイスを登録…

FIDOアライアンスのUXガイドラインには何が書いてあるか

先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか

お久しぶりです、ritou です。 今週の金/土に行われるこんなイベントにお誘いいただいて、5/8 12:50~14:20にWebアプリケーションとIDについてセッションオーナーとして議論させてもらうことになりました。ハッシュタグは #web24_id です。 connpass.com どん…

【久々の投稿と思ったら】Web24というイベントで 5/8 12:50~14:20にお話します【告知】

おはようございます。ritou です。 タイトル長くてすみません。 QiitaでID連携や認証まわりの投稿記事を見ていると、最近「ゲストログイン」という文字列が目に止まることが増えたので何か書いておきます。 ゲストログインとは 「ゲストログイン」の検索結果…

最近よく見かける初心者エンジニアが転職の際に作る今時のポートフォリオに必須だと噂の「ゲストログイン」について

こんばんは、ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 15日めの記事です。 qiita.com 何の話か? このプレスリリース、ニュースを覚えていますでしょうか。 www.jiji.com マイナンバー要求APIの説明としては 事業者が同APIを導…

噂のマイナンバー要求APIをCIBA+FIDOで作れないか考えてみた

おはようございます。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 7日めの記事です。 qiita.com OIDCとかFIDOとかOAuthとかGNAPとかいろいろな話題の記事が書かれて素晴らしいですね。 今回はID管理の設計の話をしましょう。 ID…

Identity Lifecycleを意識したID管理機能の設計

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAut…

OAuth認証とは何か?なぜダメなのか - 2020冬

おはようございます。ritouです。 何の話か 今日はLINEが発表した取組みと今後使われるようになるかも知れない認証方式について紹介します。 FIDO2使ったout of band認証がまずは、iPad版LINEから提供始まりました。デスクトップ版も準備中。https://t.co/Bq…

LINEログインの対応から「手元のスマホでログイン」の仕組みであるDecoupled AuthNを理解しよう

おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…

EMV® 3-D Secure × FIDO で目指す世界とは?

こんばんは、ritouです。 今日は OpenID Connect Client Initiated Backchannel Authentication Flow 通称CIBA のユースケースについて書きます。 CIBA は決済や送金のためのもの？ 自分の記事でも、CIBAのユースケースとしてコンビニ決済への導入例を挙げて…

OIDC CIBAで作る「スマートフォンでログイン」機能

おはようございます。ritou です。 なんか急に寒くなりましたね。私は先週末、風邪をひきました。 何の話？ OpenID Connect の CIBA と OAuth 2.0 Device AuthZ Grant は手元の端末を用いてユーザーがID連携やリソースアクセスを許可することから似ている面…

OIDC CIBA の拡張として OAuth 2.0 Device AuthZ Grant を使う仕様を考えてみた

こんにちは、ritouです。 あの #idcon がオンラインで復活！？しかもテーマはDecentralized Identity(DID)！？ と言うことで誰かの意識が高まっているのを観測したのでやります。 idcon.connpass.com 今のところの発表案です。 「MSのDID/VC概要」by phr_eid…

2020/11/19 に 「idcon vol.28 DID特集その2」 やります

おはようございます。ritouです。 今日はこれを読んでみます。 Self-Issued OpenID Connect Provider DID Profile v0.1 何のための仕様か This specification defines the "SIOP DID Profile" (SIOP DID) that is a DID AuthN flavor to use OpenID Connect …

Self-Issued OpenID Connect Provider DID Profile v0.1 とは

こんばんは、ritouです。 令和の時代においても、フィッシング攻撃はメール、SMS共に存在します。 だいぶ普及してきたみんな大好きワンタイムパスワードでもフィッシングに対しては脆弱です(FIDOにしましょう)。 フィッシング攻撃への現状の対策はどうかとい…

フィッシング対策視点から考えるメールやSMS通知のあり方

こんばんは ritouです。 むかーしむかし、あるところにOIDCのセッション管理に関する3つの仕様がありました。 (2015年の記事) ritou.hatenablog.com (Session Managementについてのさらに古い 2013年の記事) ritou.hatenablog.com いわゆるソーシャルログイ…

現在仕様策定中の OpenID Connect RP-Initiated Logout 1.0 とは

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロン…

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ

こんばんは。ritouです。 少し前に、このようなスライドを見かけました。 docs.google.com 今回はこのCapability URLsにJWTを使ってみてはいかがかなというお話をします。 私ぐらいになるとこういうやつもeyJ派なので...https://t.co/7FodQaA8ap— 秋田の猫 (…

Capability URLsをBearer Tokenと捉えた場合のJWT適用の可能性

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 ／#bosyu をメールアドレス✉️でご利用いただけるようになりました！＼今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…

bosyuが実装したメールアドレスでの登録/ログイン機能とは!?

こんばんは。ritouです。 なんの話？ ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…

ユーザー名にURLやドメインを含むSNSのアカウントとメール通知による拡散行為について

おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超…

2020年版 チーム内勉強会資料その1 : JSON Web Token

こんばんは、ritouです。 ID Tokenがやりとりされている背景 ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました！最初に見ていただいた方はもう一回どうぞ！) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

JWT+RDBを用いたOAuth 2.0 ハイブリッド型トークンの実装例

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

OAuthのハイブリッド型アクセストークン実装に関するあれこれ