おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略…

おはようございます。 ritouです。 昨日はこれでした。 idance.connpass.com 資料は公開され次第追加予定です。 人の入り具合 前日当日のキャンセルもいくらかあったものの、みなさん来ていただいてありがたかったです。 懇親会参加者は予想+3人ぐらいの健全…

おはようございます、ritou です。 昨日はこういう勉強会で話してきました。 web-study.connpass.com 私は WebAuthn をサービスに導入するときに何を考えるべきか、というお題をいただいたのでリカバリーとかリカバリーとかリカバリーの話を中心に細かい仕様…

お疲れ様です、ritouです。 今年も話してきました。 builderscon.io #builderscon このあと14:30~ 発表します。「WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~」https://t.co/PhlsRt1YO2— 秋田の猫 (@ritou) August 30, 2019 資料を作っ…

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということで…

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の特定の脆弱性を防いだりするために作られ…

おはようございます、ritou です。 様々なご都合によりGitHubでTwo-factor authenticationってのを設定している方も多いでしょう。 時に人間は、記憶もスマホも財布も一気に無くしてしまいます。 リカバリー方法を複数用意しておくにこしたことはありません…

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

こんにちは、ritouです。 不正ログインが起こらない平和な世界を目指す 開発者です(意識高い)。 ちょっと前に「決定！」というプレスリリースに「決定！お、おぅ...」となったことから全てが始まりました。 【#ヌーラボプレスリリース】#ヌーラボ が提供する…

おはようございます、ritouです。 ちょっと前から少しずつ作ってたのやつの途中経過です。 CIBAについてはこの辺りの記事をどうぞ。 ritou.hatenablog.com ritou.hatenablog.com 今回やりたいこと CIBAの認証フローをデモできる環境を作りたいなーと思ってい…

こんばんは、ritouです。 タイトルの通り、ちょっと書きました。 gihyo.jp 「WebAuthn」が導く新時代のパスワードレス認証 【前編】FIDOとWebAuthnが変えるもの …… いとうりょう 6月号では前編として、今使われている認証方式とFIDOの違い、WebAuthnの概要と…

こんばんは、ritouです。 来月の話ですが、こんなのをやります。 idance.connpass.com Digital Identityの勉強会といえば idcon ってのがあります。 idcon.org 最新の技術トレンド、トピックについて最高レベルの情報が集まり、議論される場と言っても過言で…

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I beli…

おはようございます、ritouです。 こんなTweetを見かけたので試してみました。 Google へのログイン時にセキュリティを高める二段階認証で、セキュリティキーの代わりに自分のAndroidケータイを使えるようになりました // Android 7以上のスマホ、Googleアカ…

ritouです。 前に概要編を書きました。 ritou.hatenablog.com この続き、具体的なリクエスト/レスポンスについてはこの記事に書いてあるじゃん。 もうこれ読めばいいのでは? ｽﾔｧ...としばらく過ごしてました。 qiita.com そして先日、OpenID TechNightという…

夜分遅くに失礼いたします。ritouです。 こういう記事を読むとうずうずします。おそらく病気です。 terut.hatenablog.com 森羅万象を担当しているわけではないので、OAuth/OIDCが使えんのか？って観点から書いておきます。 ファーストパーティーのOAuth/OIDC…

こんばんは、ritouです。 こちらでお話してきました。 droidkaigi.jp 資料は話す前に上げました。 このあと話します！Chrome + WebAuthn で実現できるパスワードレスなユーザー認証体験と開発者の課題Room 6 － 2019/02/07 17:10-17:40 https://t.co/EBu7G9X…

ritou です。 年末ですが、一年を振り返るエモいポエムを書く気はさらさらないのでいつも通りです。よろしくお願いします。 今年は WebAuthn が話題になりました。 来年はブラウザの対応も進み、本格的に導入してくるサービスも増えてくるかと思います。とい…

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

こんばんはこんばんは ritou です。 それは突然の出来事でした。 光らない YubiKey 諸事情により ResidentKey を使った navigator.credentials.create() を何回も何回も何回も何回もしていたら、ある時から ResidentKey を使った navigator.credentials.crea…

どーもどーもどーも。ritou です。 下書きのまま放置してました。 WebAuthnを実サービスに導入しようとしたらどこでつまづくんやってのを考えて来ましたが、ここまではわりと無難な設計に落ち着いている気がします。 【ゆるゆるとパスワードレスなUXを検討】…

ritouです。 今回はアメブロで言うところのリブログ的な何かです。 おっさん、昨日の夜にこれ読みました。 blog.haniyama.com ResidentKeyの使い所 userVerification オプションの指定に "UserVerificationイラネ" はない platform な Authenticator で User…

どーもどーも、 ritou です。 この記事は 【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録 - r-weblife の続きです。 こいつ、既存アカウントへのAuthenticator の登録、ログイン、新規アカウント登録、決済みたいな重要な処理の…

どーも、ritou です。 先日、こんなイベントに参加しました。 fido2-workshop.connpass.com 10/3&4の FIDO イベント、「fidcon 勝手に Meet up!」&「WebAuthnもくもく会」まとめ #idcon #fidcon - Togetter https://t.co/6Xima0AxDM via @togetter_jp— nov m…

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

おはようございます。ritou です。 builderscon tokyo 2018 にて WebAuthn のさわりの話をした時に、「OAuth / OpenID Connect」 との関係について質問がありました。 この質問に限った話ではありませんが、"認証のための技術" なんていうと、認証方式、認証…

こんばんは、ritouです。 まだNatさんのチャンネルをサブスクライブしていないの？ www.youtube.com 前の記事 : 文字で読みたい2分間OAuth講座 : (5) Secret of Authorization Code, (6) Actors of OAuth - r-weblife では、今回も見ていきましょう。 (7) Wh…

こんばんは、おはようございます。 ritouです。 文字で読みたい2分間OAuth講座 : (3) Where are Sender Constrained Tokens used?, (4) Why Refresh Token? - r-weblife の続きで、今日は第5,6回の内容を紹介していきます。 動画をまだみてない人は、まずチ…