おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました！最初に見ていただいた方はもう一回どうぞ！) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか？ お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

こんにちはこんにちは、ritou です。 現状、様々な用途で利用されているJWTですが、今後はますます開発者にとって "簡単に" かつ "安全に" 利用できる状況が求められていくと考えられます。 今回はそのために重要になる、各種パラメータの扱いに注目します。…

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

おはようございます。ritouです。 最近、こんな記事を見かけることが多くありませんか? フィッシング被害が増加! 2段階認証を導入しているサービス、多いよな!! それでも突破される!!!新手口とは!? と言う流れの記事です。 それらを見かけるたびに、シャーシ…

おはようございます、ritouです。 今年も Firebase Authentication や Auth0 とか沢山使われると思いますが、去年からよく聞かれる件をざっくりと書いておきます。 ID Tokenってセッショントークンとして使っていいんですよね？ 例えばこちらの記事を見てみ…

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブ…

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略…

おはようございます。 ritouです。 昨日はこれでした。 idance.connpass.com 資料は公開され次第追加予定です。 人の入り具合 前日当日のキャンセルもいくらかあったものの、みなさん来ていただいてありがたかったです。 懇親会参加者は予想+3人ぐらいの健全…

おはようございます、ritou です。 昨日はこういう勉強会で話してきました。 web-study.connpass.com 私は WebAuthn をサービスに導入するときに何を考えるべきか、というお題をいただいたのでリカバリーとかリカバリーとかリカバリーの話を中心に細かい仕様…

お疲れ様です、ritouです。 今年も話してきました。 builderscon.io #builderscon このあと14:30~ 発表します。「WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~」https://t.co/PhlsRt1YO2— 秋田の猫 (@ritou) August 30, 2019 資料を作っ…

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということで…

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の特定の脆弱性を防いだりするために作られ…

おはようございます、ritou です。 様々なご都合によりGitHubでTwo-factor authenticationってのを設定している方も多いでしょう。 時に人間は、記憶もスマホも財布も一気に無くしてしまいます。 リカバリー方法を複数用意しておくにこしたことはありません…

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

こんにちは、ritouです。 不正ログインが起こらない平和な世界を目指す 開発者です(意識高い)。 ちょっと前に「決定！」というプレスリリースに「決定！お、おぅ...」となったことから全てが始まりました。 【#ヌーラボプレスリリース】#ヌーラボ が提供する…

おはようございます、ritouです。 ちょっと前から少しずつ作ってたのやつの途中経過です。 CIBAについてはこの辺りの記事をどうぞ。 ritou.hatenablog.com ritou.hatenablog.com 今回やりたいこと CIBAの認証フローをデモできる環境を作りたいなーと思ってい…

こんばんは、ritouです。 タイトルの通り、ちょっと書きました。 gihyo.jp 「WebAuthn」が導く新時代のパスワードレス認証 【前編】FIDOとWebAuthnが変えるもの …… いとうりょう 6月号では前編として、今使われている認証方式とFIDOの違い、WebAuthnの概要と…

こんばんは、ritouです。 来月の話ですが、こんなのをやります。 idance.connpass.com Digital Identityの勉強会といえば idcon ってのがあります。 idcon.org 最新の技術トレンド、トピックについて最高レベルの情報が集まり、議論される場と言っても過言で…

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I beli…

おはようございます、ritouです。 こんなTweetを見かけたので試してみました。 Google へのログイン時にセキュリティを高める二段階認証で、セキュリティキーの代わりに自分のAndroidケータイを使えるようになりました // Android 7以上のスマホ、Googleアカ…

ritouです。 前に概要編を書きました。 ritou.hatenablog.com この続き、具体的なリクエスト/レスポンスについてはこの記事に書いてあるじゃん。 もうこれ読めばいいのでは? ｽﾔｧ...としばらく過ごしてました。 qiita.com そして先日、OpenID TechNightという…

夜分遅くに失礼いたします。ritouです。 こういう記事を読むとうずうずします。おそらく病気です。 terut.hatenablog.com 森羅万象を担当しているわけではないので、OAuth/OIDCが使えんのか？って観点から書いておきます。 ファーストパーティーのOAuth/OIDC…

こんばんは、ritouです。 こちらでお話してきました。 droidkaigi.jp 資料は話す前に上げました。 このあと話します！Chrome + WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題Room 6 － 2019/02/07 17:10-17:40 https://t.co/EBu7G9X…

ritou です。 年末ですが、一年を振り返るエモいポエムを書く気はさらさらないのでいつも通りです。よろしくお願いします。 今年は WebAuthn が話題になりました。 来年はブラウザの対応も進み、本格的に導入してくるサービスも増えてくるかと思います。とい…

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…