おはようございます。ritou です。 タイトル長くてすみません。 QiitaでID連携や認証まわりの投稿記事を見ていると、最近「ゲストログイン」という文字列が目に止まることが増えたので何か書いておきます。 ゲストログインとは 「ゲストログイン」の検索結果…

最近よく見かける初心者エンジニアが転職の際に作る今時のポートフォリオに必須だと噂の「ゲストログイン」について

こんばんは、ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 15日めの記事です。 qiita.com 何の話か? このプレスリリース、ニュースを覚えていますでしょうか。 www.jiji.com マイナンバー要求APIの説明としては 事業者が同APIを導…

噂のマイナンバー要求APIをCIBA+FIDOで作れないか考えてみた

おはようございます。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 7日めの記事です。 qiita.com OIDCとかFIDOとかOAuthとかGNAPとかいろいろな話題の記事が書かれて素晴らしいですね。 今回はID管理の設計の話をしましょう。 ID…

Identity Lifecycleを意識したID管理機能の設計

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAut…

OAuth認証とは何か?なぜダメなのか - 2020冬

おはようございます。ritouです。 何の話か 今日はLINEが発表した取組みと今後使われるようになるかも知れない認証方式について紹介します。 FIDO2使ったout of band認証がまずは、iPad版LINEから提供始まりました。デスクトップ版も準備中。https://t.co/Bq…

LINEログインの対応から「手元のスマホでログイン」の仕組みであるDecoupled AuthNを理解しよう

おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…

EMV® 3-D Secure × FIDO で目指す世界とは?

こんばんは、ritouです。 今日は OpenID Connect Client Initiated Backchannel Authentication Flow 通称CIBA のユースケースについて書きます。 CIBA は決済や送金のためのもの？ 自分の記事でも、CIBAのユースケースとしてコンビニ決済への導入例を挙げて…

OIDC CIBAで作る「スマートフォンでログイン」機能

おはようございます。ritou です。 なんか急に寒くなりましたね。私は先週末、風邪をひきました。 何の話？ OpenID Connect の CIBA と OAuth 2.0 Device AuthZ Grant は手元の端末を用いてユーザーがID連携やリソースアクセスを許可することから似ている面…

OIDC CIBA の拡張として OAuth 2.0 Device AuthZ Grant を使う仕様を考えてみた

こんにちは、ritouです。 あの #idcon がオンラインで復活！？しかもテーマはDecentralized Identity(DID)！？ と言うことで誰かの意識が高まっているのを観測したのでやります。 idcon.connpass.com 今のところの発表案です。 「MSのDID/VC概要」by phr_eid…

2020/11/19 に 「idcon vol.28 DID特集その2」 やります

おはようございます。ritouです。 今日はこれを読んでみます。 Self-Issued OpenID Connect Provider DID Profile v0.1 何のための仕様か This specification defines the "SIOP DID Profile" (SIOP DID) that is a DID AuthN flavor to use OpenID Connect …

Self-Issued OpenID Connect Provider DID Profile v0.1 とは

こんばんは、ritouです。 令和の時代においても、フィッシング攻撃はメール、SMS共に存在します。 だいぶ普及してきたみんな大好きワンタイムパスワードでもフィッシングに対しては脆弱です(FIDOにしましょう)。 フィッシング攻撃への現状の対策はどうかとい…

フィッシング対策視点から考えるメールやSMS通知のあり方

こんばんは ritouです。 むかーしむかし、あるところにOIDCのセッション管理に関する3つの仕様がありました。 (2015年の記事) ritou.hatenablog.com (Session Managementについてのさらに古い 2013年の記事) ritou.hatenablog.com いわゆるソーシャルログイ…

現在仕様策定中の OpenID Connect RP-Initiated Logout 1.0 とは

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロン…

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ

こんばんは。ritouです。 少し前に、このようなスライドを見かけました。 docs.google.com 今回はこのCapability URLsにJWTを使ってみてはいかがかなというお話をします。 私ぐらいになるとこういうやつもeyJ派なので...https://t.co/7FodQaA8ap— 秋田の猫 (…

Capability URLsをBearer Tokenと捉えた場合のJWT適用の可能性

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 ／#bosyu をメールアドレス✉️でご利用いただけるようになりました！＼今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…

bosyuが実装したメールアドレスでの登録/ログイン機能とは!?

こんばんは。ritouです。 なんの話？ ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…

ユーザー名にURLやドメインを含むSNSのアカウントとメール通知による拡散行為について

おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超…

2020年版 チーム内勉強会資料その1 : JSON Web Token

こんばんは、ritouです。 ID Tokenがやりとりされている背景 ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました！最初に見ていただいた方はもう一回どうぞ！) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

JWT+RDBを用いたOAuth 2.0 ハイブリッド型トークンの実装例

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

OAuthのハイブリッド型アクセストークン実装に関するあれこれ

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

OIDC CIBAのようなDecoupled AuthZ/AuthNプロトコルでリスクベース判定したくない？

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは？

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか？ お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

ID連携におけるCSRF対策のチェック方法

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…

JSON Web Signatureを簡単かつ安全に使うためのkid/typパラメータの使い方

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

OAuth 2.0 / OpenID Connect の Hybrid Flow への向き合い方

おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…

人はなぜ「フィッシング対策のための2段階認証」「2段階認証を破る新手口！」と雑に言ってしまうのか

おはようございます、ritouです。 今年も Firebase Authentication や Auth0 とか沢山使われると思いますが、去年からよく聞かれる件をざっくりと書いておきます。 ID Tokenってセッショントークンとして使っていいんですよね？ 例えばこちらの記事を見てみ…

そのIDTokenの正体はセッショントークン？それともアサーション？

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブ…

怖くないネイティブアプリケーションにおけるID連携機能を実装するための考え方

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略…

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方