「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 230 users ritou k-tai.watch パスワード認証 ブラウザ

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 895 users ritou OAuth認証 bot qiita.com 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users JWT Webアプリケーション ritou セッション管理

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife

2019/04/19 205 users トークン 拡張仕様

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to b... 続きを読む

なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife

2013/03/29 127 users ヤツ

こんばんは、ritouです。Twitterの問題が発覚した際、こんなgistも書きました。gist:5053810今朝、こんなTweetしました。 Consumer Secret管理の議論はいくらでもしていただいて結構だけど、なんとなく見ている開発者がそれをOAuthのアキレス腱のように思いそうなのが嫌。"第3者に取得される可能性がある"という前提の上でどこをおさえればユーザーに迷惑かけないかを啓... 続きを読む

OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife

2012/02/06 153 users idcon リスク ユーザー認証 対策方法

おはようございます、ritouです。今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat ZoneThread Safe今回は以下の内容について整理したいと思います。 OAuth 2.0の何にセキュリティホールがあるのか 誰が悪さ... 続きを読む