おはようございます！こんにちは！こんばんは！ ritouです。 (2019/4/1 : Sender Constrained Token と表記する部分を User Constrained Token としていたので修正しました。ご指摘ありがとうございます！) 文字で読みたい2分間OAuth講座 : (1) The Basic Co…

おはようございます！こんにちは！ ritouです。 みんな知ってる Nat Sakimura 氏が YouTube で公開されている、いわゆる2分間OAuth講座ってのがあります。 www.youtube.com 英語で話されているものの、日本語字幕もあるし、とにかくわかりやすい。 しかし、…

(ふと描き忘れたなというところを追記してます) どこで何を話したのか builderscon tokyo 2018 にてお話しして来ました。 builderscon.io 資料もアップロード済みです。 builderscon tokyo 2018 のスライド公開しました。 "パスワードレスなユーザー認証時代…

おはようございます、ritouです。OpenID Summit Tokyo 2015までもうちょいですね。 プログラムを見てみましょう。 OpenID Summit Tokyo 2015 仕様の話もありそうですね。 今回はRFCXXXXとして発行された系ではなく、OpenID Foundationで策定が進んでいるOpen…

こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想…

おひさしぶりです、ritouです。今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。 ベンダー個別のパスワード管理には課税せよ！？ 次世代Webカンファレンス『identity』 #nextwebconf #nextwe…

どーも、ritouです。 一言でいうと、MQTTでもTokenを使えそうというだけの話 MQTTに関して、様々な言語のライブラリや、他の機能と連携するプラグインなどもよく見かけます。 詳細な解説記事からさくっと使って「簡単でした！」みたいな記事までたくさん出回…

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OA…

おはようございます ritou です。去年 に引き続き、今年も話す機会をいただいたので行ってきました。 2回目っていうのと、私が師と仰ぐlyokato氏が一日目にMQTTからなんやらかんやらの話でオーディエンスにツッこむ隙を与えない非常に良い雰囲気を醸し出して…

こんにちは、ritouです。Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。 Yahoo!ウォレット FastPay 決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でや…

こんばんは、ritouです。OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。 でも、なんかまだしっくりこないっていう人いると思います。その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持…

こんばんは、ritouです。 1/14,15にJAPAN IDENTITY & CLOUD SUMMITが開催されました。 すでにレポートや取材記事、まとめ、まとめのまとめなどありますのでイベントを知らない方は見ていただければと思います。 IdM実験室: Japan Identity & Cloud Summit 20…

こんにちは、ritouです。 Self-Issued OPについて、去年からなんかごちゃごちゃ言ってきましたが、やはり動くものが見れないと話にならないと思っていたので、年越しあたりでデモ用のアプリを作ってました。Self-Issued OPとはなんなのかについての復習はこ…

こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使っ…

こんばんは、ritouです。GoogleのCross-client Identityっていうドキュメントについて気にされている方がいたので自分なりの解釈を書いておこうと思います。 GoogleのCross-client Identity - 高温処理済みコースケ 何の話か これですね。 Cross-client Iden…

こんばんは、ritouです。OpenIDファウンデーションのブログにこんなことが書いてありました。OpenID 2.0 から OpenID Connect への移行のプラクティス @ Google (追記あり) | 事務局ブログ | OpenID ファウンデーション・ジャパンこれについてちょっとだけ補…

こんばんはこんばんは!!、ritouです。木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blogとりあえず…

おはようございます, ritouです. 今日はOpenID ConnectのSession Managementについてざっくり紹介します. まとめ OpenID ConnectでOP/RP間でUserAgent上のセッションが同期される(同じユーザーがログイン状態となる)タイミングはAuthorization Responseが処…

こんばんは, ritouです. タイトルの通りです.普段発表とかしてる idcon に来る方々と別の層にも知ってもらいたいという思いからトーク申し込んだのですが, 基本的に出不精なので, かなりアッウェーイ感が漂う感じでしたがなんとか行ってまいりました. スライ…

こんにちは, ritouです. 天気悪いので前回の続きのエントリ書いちゃいます. PerlのOpenID Connect用ライブラリOIDC::Liteをざっくり紹介 - r-weblife前回の紹介したOIDC::Liteを使って, OpenID Connectの動作を確認できるサンプルOP/RPを作ってみましたとい…

こんばんは, ritouです.YAPC::Asia Tokyo 2013でOpenID Connectについて話す予定です. エンジニャー中心のイベントっぽい感じなので, OpenID Connectの概要は前に書いた記事をサマったぐらいにして, 実装よりの話としてOIDC::Liteというライブラリを紹介する…

こんにちは, ritouです。 9月のイベント 下記のエントリにも書いていますが、9月にエンタープライズでIdentityなイベントがあります。 エンプラグレード OAuth 2.0 - OAuth.jp9/4(水)のOpenID TechNight、参加枠が150人になってます。 Cloud Identity Summit…

おはようございます、ritouです。OpenID Connect Messagesの仕様で定義されてるSelf-Issued OpenID Providerについてのお話です。 いきなり参考リンク 英語読める人は仕様読めばよい。 仕様(English) : http://openid.net/specs/openid-connect-messages-1_0…

おはようございます、ritouです。GWも終わり、今日からまた仕事だー5月病だーなんて思っておられるところかと思います。 そんな皆様のやる気を減退させるような、後ろ向きなエントリを投げつけたいと思います。今までいくつか関連するエントリを書いてきまし…

なったらしいので紹介します。 http://www.ietf.org/mail-archive/web/oauth/current/msg11261.html http://tools.ietf.org/html/draft-ietf-oauth-revocation-07 概要 Client側からOAuth 2.0で発行されたAccess TokenやRefresh Tokenを無効化するためのリク…

こんにちは、ritouです。 昨年、EmailによるOTP送信機能の提供を始めたYahoo! JAPANがいよいよiOS/Android向けのアプリを出したようです。 ワンタイムパスワード（OTP） - Yahoo! JAPAN IDガイド ヤフーがソフトウェアトークンによるOTPをはじめた 記憶＋所…

こんばんは、ritouです。Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:leftgistに書いた通り、私の考える今回の問題の本質…

【3/21追記】 なんかちょっと新しくなっててリンク切れしてます。プロダクトの説明などはこちらからよしなに調べてください。https://trulioo.com/en/こんばんは、ritouです。@phr_eidentityさんがJICS 2013のときにブログエントリに書いていたTruliooのプロ…

こんにちは、ritouです。 最近、Google+プラットフォームに新しい機能が追加されたようですね。 Introducing Google+ Sign-In: simple and secure, minus the social spam - Google+ Developers Blog Google+ Platform | Google Developers 今までもシェアボ…

おはようございます、ritouです。 JWTへの注目の高まりを感じる 去年からJWT(JSON Web Token)に注目が集まっています。 http://oauth.jp/json-web-token-jwt来月のJICS 2013でもJWTに関する基調講演がありますし、2日目のIdentity Technologies Introduction…