こんばんは、ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 15日めの記事です。 qiita.com 何の話か? このプレスリリース、ニュースを覚えていますでしょうか。 www.jiji.com マイナンバー要求APIの説明としては 事業者が同APIを導…

おはようございます。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 7日めの記事です。 qiita.com OIDCとかFIDOとかOAuthとかGNAPとかいろいろな話題の記事が書かれて素晴らしいですね。 今回はID管理の設計の話をしましょう。 ID…

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAut…

おはようございます。ritouです。 何の話か 今日はLINEが発表した取組みと今後使われるようになるかも知れない認証方式について紹介します。 FIDO2使ったout of band認証がまずは、iPad版LINEから提供始まりました。デスクトップ版も準備中。https://t.co/Bq…

おはようございます。ritouです。 最近寒いです。もうダメ。 なんの話か 今日はこのお話です。 EMVCo publishes new guidance for merchants and issuers on using @FIDOAlliance authentication with EMV® 3-D Secure for improved online payment experien…

こんばんは、ritouです。 今日は OpenID Connect Client Initiated Backchannel Authentication Flow 通称CIBA のユースケースについて書きます。 CIBA は決済や送金のためのもの？ 自分の記事でも、CIBAのユースケースとしてコンビニ決済への導入例を挙げて…

おはようございます。ritou です。 なんか急に寒くなりましたね。私は先週末、風邪をひきました。 何の話？ OpenID Connect の CIBA と OAuth 2.0 Device AuthZ Grant は手元の端末を用いてユーザーがID連携やリソースアクセスを許可することから似ている面…

こんにちは、ritouです。 あの #idcon がオンラインで復活！？しかもテーマはDecentralized Identity(DID)！？ と言うことで誰かの意識が高まっているのを観測したのでやります。 idcon.connpass.com 今のところの発表案です。 「MSのDID/VC概要」by phr_eid…

おはようございます。ritouです。 今日はこれを読んでみます。 Self-Issued OpenID Connect Provider DID Profile v0.1 何のための仕様か This specification defines the "SIOP DID Profile" (SIOP DID) that is a DID AuthN flavor to use OpenID Connect …

こんばんは、ritouです。 令和の時代においても、フィッシング攻撃はメール、SMS共に存在します。 だいぶ普及してきたみんな大好きワンタイムパスワードでもフィッシングに対しては脆弱です(FIDOにしましょう)。 フィッシング攻撃への現状の対策はどうかとい…

こんばんは ritouです。 むかーしむかし、あるところにOIDCのセッション管理に関する3つの仕様がありました。 (2015年の記事) ritou.hatenablog.com (Session Managementについてのさらに古い 2013年の記事) ritou.hatenablog.com いわゆるソーシャルログイ…

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロン…

こんばんは。ritouです。 少し前に、このようなスライドを見かけました。 docs.google.com 今回はこのCapability URLsにJWTを使ってみてはいかがかなというお話をします。 私ぐらいになるとこういうやつもeyJ派なので...https://t.co/7FodQaA8ap— 秋田の猫 (…

こんばんは、ritouです。 今日はこの機能を使ってみましょう。 ／#bosyu をメールアドレス✉️でご利用いただけるようになりました！＼今まで、TwitterかFacebookのアカウントがないとご利用いただけませんでしたが、メールアドレスだけでも使えるようになりま…

こんばんは。ritouです。 なんの話？ ちょっと前にQiitaでこんなことがありました。 qiita.com 最近はこんなのも見かけました。 大量ユーザ登録攻撃による彼らのターゲットは俺個人ではなく、ユーザ登録確認メールを受け取る人々だ。なぜならそのメールにフ…

おはようございます。ritou です。 5月下旬ぐらいにチーム内勉強会としてJSON Web Token(JWT)についてわいわいやりました。 その際に作成した資料に簡単な説明を添えつつ紹介します。 このブログではJWTについて色々と記事を書いてきましたが、その範囲を超…

こんばんは、ritouです。 ID Tokenがやりとりされている背景 ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました！最初に見ていただいた方はもう一回どうぞ！) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか？ お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…

おはようございます、ritouです。 今年も Firebase Authentication や Auth0 とか沢山使われると思いますが、去年からよく聞かれる件をざっくりと書いておきます。 ID Tokenってセッショントークンとして使っていいんですよね？ 例えばこちらの記事を見てみ…