ritou です。 年末ですが、一年を振り返るエモいポエムを書く気はさらさらないのでいつも通りです。よろしくお願いします。 今年は WebAuthn が話題になりました。 来年はブラウザの対応も進み、本格的に導入してくるサービスも増えてくるかと思います。とい…

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

こんばんはこんばんは ritou です。 それは突然の出来事でした。 光らない YubiKey 諸事情により ResidentKey を使った navigator.credentials.create() を何回も何回も何回も何回もしていたら、ある時から ResidentKey を使った navigator.credentials.crea…

どーもどーもどーも。ritou です。 下書きのまま放置してました。 WebAuthnを実サービスに導入しようとしたらどこでつまづくんやってのを考えて来ましたが、ここまではわりと無難な設計に落ち着いている気がします。 【ゆるゆるとパスワードレスなUXを検討】…

ritouです。 今回はアメブロで言うところのリブログ的な何かです。 おっさん、昨日の夜にこれ読みました。 blog.haniyama.com ResidentKeyの使い所 userVerification オプションの指定に "UserVerificationイラネ" はない platform な Authenticator で User…

どーもどーも、 ritou です。 この記事は 【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録 - r-weblife の続きです。 こいつ、既存アカウントへのAuthenticator の登録、ログイン、新規アカウント登録、決済みたいな重要な処理の…

どーも、ritou です。 先日、こんなイベントに参加しました。 fido2-workshop.connpass.com 10/3&4の FIDO イベント、「fidcon 勝手に Meet up!」&「WebAuthnもくもく会」まとめ #idcon #fidcon - Togetter https://t.co/6Xima0AxDM via @togetter_jp— nov m…

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

おはようございます。ritou です。 builderscon tokyo 2018 にて WebAuthn のさわりの話をした時に、「OAuth / OpenID Connect」 との関係について質問がありました。 この質問に限った話ではありませんが、"認証のための技術" なんていうと、認証方式、認証…

こんばんは、ritouです。 まだNatさんのチャンネルをサブスクライブしていないの？ www.youtube.com 前の記事 : 文字で読みたい2分間OAuth講座 : (5) Secret of Authorization Code, (6) Actors of OAuth - r-weblife では、今回も見ていきましょう。 (7) Wh…

こんばんは、おはようございます。 ritouです。 文字で読みたい2分間OAuth講座 : (3) Where are Sender Constrained Tokens used?, (4) Why Refresh Token? - r-weblife の続きで、今日は第5,6回の内容を紹介していきます。 動画をまだみてない人は、まずチ…

ritou です。 みんな大好きJWT。今日もみんなで eyJ!ということで、今回はこちらの仕様について説明します。 openid.net 概要 This document defines a new JWT-based mode to encode authorization responses. Clients are enabled to request the transmis…

おはようございます！こんにちは！こんばんは！ ritouです。 (2019/4/1 : Sender Constrained Token と表記する部分を User Constrained Token としていたので修正しました。ご指摘ありがとうございます！) 文字で読みたい2分間OAuth講座 : (1) The Basic Co…

おはようございます！こんにちは！ ritouです。 みんな知ってる Nat Sakimura 氏が YouTube で公開されている、いわゆる2分間OAuth講座ってのがあります。 www.youtube.com 英語で話されているものの、日本語字幕もあるし、とにかくわかりやすい。 しかし、…

(ふと描き忘れたなというところを追記してます) どこで何を話したのか builderscon tokyo 2018 にてお話しして来ました。 builderscon.io 資料もアップロード済みです。 builderscon tokyo 2018 のスライド公開しました。 "パスワードレスなユーザー認証時代…