メアドなどのスクリーニング対策を意識しつつ WebAuthn のログインフローを考える

ritou です。 年末ですが、一年を振り返るエモいポエムを書く気はさらさらないのでいつも通りです。よろしくお願いします。 今年は WebAuthn が話題になりました。 来年はブラウザの対応も進み、本格的に導入してくるサービスも増えてくるかと思います。とい…

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

OAuth 2.0 の Implicit grant 終了のお知らせ

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

まんぷくになった YubiKey を YubiKey Manager でリセットしたメモ

こんばんはこんばんは ritou です。 それは突然の出来事でした。 光らない YubiKey 諸事情により ResidentKey を使った navigator.credentials.create() を何回も何回も何回も何回もしていたら、ある時から ResidentKey を使った navigator.credentials.crea…

【ゆるゆるとパスワードレスなUXを検討】(3) 新規アカウント作成時に WebAuthn Authenticator の登録

どーもどーもどーも。ritou です。 下書きのまま放置してました。 WebAuthnを実サービスに導入しようとしたらどこでつまづくんやってのを考えて来ましたが、ここまではわりと無難な設計に落ち着いている気がします。 【ゆるゆるとパスワードレスなUXを検討】…

「Webauthn における ResidentKey について」 について

ritouです。 今回はアメブロで言うところのリブログ的な何かです。 おっさん、昨日の夜にこれ読みました。 blog.haniyama.com ResidentKeyの使い所 userVerification オプションの指定に "UserVerificationイラネ" はない platform な Authenticator で User…

【ゆるゆるとパスワードレスなUXを検討】(2) WebAuthn Authenticator でログイン

どーもどーも、 ritou です。 この記事は 【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録 - r-weblife の続きです。 こいつ、既存アカウントへのAuthenticator の登録、ログイン、新規アカウント登録、決済みたいな重要な処理の…

【ゆるゆるとパスワードレスなUXを検討】(1) WebAuthn Authenticator の登録

どーも、ritou です。 先日、こんなイベントに参加しました。 fido2-workshop.connpass.com 10/3&4の FIDO イベント、「fidcon 勝手に Meet up!」&「WebAuthnもくもく会」まとめ #idcon #fidcon - Togetter https://t.co/6Xima0AxDM via @togetter_jp— nov m…

Authlete の OAuth 2.0 / OIDC 実装ナレッジ 完全に理解した

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

OpenID Connect のあれが WebAuthn のこれになったらどうなるかって話

おはようございます。ritou です。 builderscon tokyo 2018 にて WebAuthn のさわりの話をした時に、「OAuth / OpenID Connect」 との関係について質問がありました。 この質問に限った話ではありませんが、"認証のための技術" なんていうと、認証方式、認証…

文字で読みたい2分間OAuth講座 : (7) When can one use password grant?, (8) ROPC (Password Grant) the Migration Tool

こんばんは、ritouです。 まだNatさんのチャンネルをサブスクライブしていないの? www.youtube.com 前の記事 : 文字で読みたい2分間OAuth講座 : (5) Secret of Authorization Code, (6) Actors of OAuth - r-weblife では、今回も見ていきましょう。 (7) Wh…

文字で読みたい2分間OAuth講座 : (5) Secret of Authorization Code, (6) Actors of OAuth

こんばんは、おはようございます。 ritouです。 文字で読みたい2分間OAuth講座 : (3) Where are Sender Constrained Tokens used?, (4) Why Refresh Token? - r-weblife の続きで、今日は第5,6回の内容を紹介していきます。 動画をまだみてない人は、まずチ…

FAPI : JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) とは

ritou です。 みんな大好きJWT。今日もみんなで eyJ!ということで、今回はこちらの仕様について説明します。 openid.net 概要 This document defines a new JWT-based mode to encode authorization responses. Clients are enabled to request the transmis…

文字で読みたい2分間OAuth講座 : (3) Where are Sender Constrained Tokens used?, (4) Why Refresh Token?

おはようございます!こんにちは!こんばんは! ritouです。 (2019/4/1 : Sender Constrained Token と表記する部分を User Constrained Token としていたので修正しました。ご指摘ありがとうございます!) 文字で読みたい2分間OAuth講座 : (1) The Basic Co…

文字で読みたい2分間OAuth講座 : (1) The Basic Concepts (2) Bearer and Sender Constrained Tokens

おはようございます!こんにちは! ritouです。 みんな知ってる Nat Sakimura 氏が YouTube で公開されている、いわゆる2分間OAuth講座ってのがあります。 www.youtube.com 英語で話されているものの、日本語字幕もあるし、とにかくわかりやすい。 しかし、…

builderscon tokyo 2018 でパスワードレスについて話しました & idcon に行こう

(ふと描き忘れたなというところを追記してます) どこで何を話したのか builderscon tokyo 2018 にてお話しして来ました。 builderscon.io 資料もアップロード済みです。 builderscon tokyo 2018 のスライド公開しました。 "パスワードレスなユーザー認証時代…

OpenID Connectのセッションに関する3つの仕様について

おはようございます、ritouです。OpenID Summit Tokyo 2015までもうちょいですね。 プログラムを見てみましょう。 OpenID Summit Tokyo 2015 仕様の話もありそうですね。 今回はRFCXXXXとして発行された系ではなく、OpenID Foundationで策定が進んでいるOpen…

RFC7662として発行されたOAuth Token Introspectionとは

こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想…

RFC7636として発行されたOAuth PKCEとは

おひさしぶりです、ritouです。今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。 ベンダー個別のパスワード管理には課税せよ!? 次世代Webカンファレンス『identity』 #nextwebconf #nextwe…

Auth0のドキュメントに書いてあったMQTTをWeb APIっぽく使うための工夫

どーも、ritouです。 一言でいうと、MQTTでもTokenを使えそうというだけの話 MQTTに関して、様々な言語のライブラリや、他の機能と連携するプラグインなどもよく見かけます。 詳細な解説記事からさくっと使って「簡単でした!」みたいな記事までたくさん出回…

OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OA…

YAPC::Asia Tokyo 2014にてソーシャルログインの話をしました

おはようございます ritou です。去年 に引き続き、今年も話す機会をいただいたので行ってきました。 2回目っていうのと、私が師と仰ぐlyokato氏が一日目にMQTTからなんやらかんやらの話でオーディエンスにツッこむ隙を与えない非常に良い雰囲気を醸し出して…

Yahoo!ウォレット Fastpayのようなクレカ情報をやりとりするしくみに対する懸念

こんにちは、ritouです。Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。 Yahoo!ウォレット FastPay 決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でや…

Cookie使ったセッション管理も認可だと思うわって話

こんばんは、ritouです。OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。 でも、なんかまだしっくりこないっていう人いると思います。その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持…

JICS 2014のセキュリティ・トラックを聞いて思ったこと

こんばんは、ritouです。 1/14,15にJAPAN IDENTITY & CLOUD SUMMITが開催されました。 すでにレポートや取材記事、まとめ、まとめのまとめなどありますのでイベントを知らない方は見ていただければと思います。 IdM実験室: Japan Identity & Cloud Summit 20…

OpenID ConnectのSelf-Issued OPデモ用Androidアプリを作ってみた

こんにちは、ritouです。 Self-Issued OPについて、去年からなんかごちゃごちゃ言ってきましたが、やはり動くものが見れないと話にならないと思っていたので、年越しあたりでデモ用のアプリを作ってました。Self-Issued OPとはなんなのかについての復習はこ…

特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について

こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使っ…

GoogleのCross-client Identityのしくみについて

こんばんは、ritouです。GoogleのCross-client Identityっていうドキュメントについて気にされている方がいたので自分なりの解釈を書いておこうと思います。 GoogleのCross-client Identity - 高温処理済みコースケ 何の話か これですね。 Cross-client Iden…

Googleが出したOpenID 2.0からOpenID Connectへの移行のプラクティスについての補足

こんばんは、ritouです。OpenIDファウンデーションのブログにこんなことが書いてありました。OpenID 2.0 から OpenID Connect への移行のプラクティス @ Google (追記あり) | 事務局ブログ | OpenID ファウンデーション・ジャパンこれについてちょっとだけ補…

mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた

こんばんはこんばんは!!、ritouです。木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blogとりあえず…