OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife

2020/11/30 895 users r-weblife OAuth認証 bot Tweet 初日

こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようにな... 続きを読む

メールアドレスをキーにしてID連携を行う設計の危うさ｜ritou

2023/11/15 397 users キー ID連携 設計 メールアドレス dis

ritouです。このしずかなインターネットにおける初投稿です。 おそらく、このしずかなインターネットのID連携では次のような設計になっています。 ※本件は問い合わせ済みであり、本サービスのdisを目的としているものではありません 「Googleアカウントでログイン」ではじめると、ユーザーが作成され、Googleから受け取... 続きを読む

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife

2019/11/30 397 users r-weblife JWT Webアプリケーション 考え方

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の... 続きを読む

「使える人にだけ使わせる」 ~ マネーフォワードIDのログインUXから見るパスキー普及のポイント - r-weblife

2023/04/04 230 users r-weblife k-tai.watch パスワード認証

ritouです。 いよいよドコモさんもパスキー対応が始まりましたね！いや、これを書いている時点ではまだです。 k-tai.watch.impress.co.jp それよりも、今回はマネーフォワードIDのパスキー対応に注目します。 corp.moneyforward.com ブラウザのパスワードマネージャー機能を利用したパスワード認証のUX パスキー対応に触... 続きを読む

パスキー時代の"認証要素"の考え方 ~パスキーとパスワードマネージャー~

2023/10/02 206 users パスワードマネージャー ハスキー 認証要素 考え方 指紋認証

ritouです。 サービス、ブラウザ、OSそれぞれのパスキー対応が日々進んでいます。 その中で、パスキーを利用してみて認証要素についてふと考えてしまう人がいるでしょう。 パスキー簡単！けどこれ指紋認証だけ？弱くなってない？ SMS OTPを2FAに設定し、パスワードマネージャーも使ってたから使い勝手はあまり変わらない... 続きを読む

OAuthにおける「クライアントサイドに対する認可」なのか「サーバーサイドに対する認可」なのか明確でない問題 - 金利0無利息キャッシング – キャッシングできます - subtech

2012/02/14 123 users bulkneets クライアントサイド subtech 認可

ココらへんの問題について、適当に自分の考えを書いたりします。 http://www.sakimura.org/2012/02/1487/ http://d.hatena.ne.jp/ritou/20120206/1328484575 http://oauth.jp/oauth-20-implicit-flow https://twitter.com/#!/bulkneets/status/1669... 続きを読む

GitHubの2要素認証がWebAuthnに対応したらしいので触ってみた - r-weblife

2019/08/22 98 users GitHub WebAuthn r-weblife 夢中 実装

どーも、ritouです。 世の中みんながこの話題に夢中かと思います(大げさ)。 github.blog GitHubは以前から2要素認証の方式としてセキュリティキーをサポートしてきました。2015年ですって。 github.blog 今回、その実装がWebAuthnに変更になったということです。 forest.watch.impress.co.jp 将来的には“Windows Hello”... 続きを読む

パスキーとID連携の認証フローの共通点から見る認証技術の基本

2024/01/03 94 users ハスキー ID連携 認証技術 共通点 基本

ritou です。 少し前にパスキーとID連携の関係を考えるときにこういう観点があるよという話をしずかな方に書きました。 今回は、ログインに利用しようとした時のフローの中でここ似ているよね、こんな意図があるんだよっていう部分を取り上げます。 認証フローの似ている点 登場人物をUserAgent、RP、Authenticatorとし... 続きを読む

OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife

2014/09/27 89 users r-weblife Access Token JWS 適用

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。出てくる用語や仕様は、下記の翻訳リンクを参照してください。The OAuth 2.0 Authorization FrameworkJSON Web Signature (JWS)想定する環境わりとよくある環境を想... 続きを読む

WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~ / builderscon tokyo 2019 ritou - Speaker Deck

2019/08/30 69 users FIDO WebAuthn Speaker Deck

WebAuthn/FIDOのUX徹底解説 ~実サービスへの導入イメージを添えて~ / builderscon tokyo 2019 ritou 続きを読む

特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife

2013/12/26 46 users r-weblife モバイルアプリ リスク 特定条件下 対策

こんにちは、ritouです。やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。何の話かmixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっ... 続きを読む

なんとなくOAuth怖いって思ってるやつちょっと来い

2013/03/29 43 users ヤツ Presentation Transcript

Statistics Likes 1 Downloads 0 Comments 0 Embed Views 36 Views on SlideShare 21 Total Views 57 なんとなくOAuth怖いって思ってるやつちょっと来い Presentation Transcript なんとなくOAuth怖いって思ってる奴ちょっと来い~ OAuth 1.0編 2013/3 RITOU 読んで... 続きを読む

PWA Night vol.57 ～認証・認可〜 にてパスキーの話をしました - r-weblife

2023/11/15 42 users r-weblife 認可 PWA Night 認証 ハスキー

ritou です。 これで話しました。 pwanight.connpass.com 発表資料と発表内容を公開します。 発表資料 speakerdeck.com 発表内容 台本チラ見しながら話したので実際にはこのとおりになってなかった部分もあります。 今日は、パスキーについて話します。 細かい自己紹介は省略します。 色々宣伝したいものがありますがブ... 続きを読む

Yahoo! JAPANのOAuth 2.0&OpenID Connect実装を試してみた！ - r-weblife

2012/11/07 36 users デベロッパーネットワーク YConnect エントリ 準拠

こんばんは、ritouです。今回のY!Jの新機能は気のせいじゃなさそうだ！ということで、今回のエントリは長いので気をつけてください。 何が起こったここにいろいろ書いてあります。YConnect - Yahoo!デベロッパーネットワーク 名称はYConnect OAuth 2.0の仕様に準拠した OpenID Connectもサポート"準拠"と"サポート"の使い分けが気になりますがまぁ進めましょう。... 続きを読む

Yahoo!ウォレット Fastpayのようなクレカ情報をやりとりするしくみに対する懸念 - r-weblife

2014/02/15 29 users r-weblife FastPay マーチャント しくみ 懸念

こんにちは、ritouです。Y!Jが今後出そうとしてるFastPayってやつの開発環境が提供されてるみたいです。Yahoo!ウォレット FastPay決済をシンプルにしたいという思いは重要だと思います。しかし、クレジットカード情報を決済サービス - マーチャント間でやりとりするしくみについて、いくつか懸念があります。懸念1 : マーチャントからのカード情報流出など(ここでは一旦、「クレカ情報入力す... 続きを読む

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編 - r-weblife

2018/12/30 23 users OpenIDファウンデーション r-weblife 仕様

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Period for OpenID Connect Client Initiated Backchannel Authenti... 続きを読む

認証機能を独自実装する代わりにIDaaSのREST APIを使うアプローチ - r-weblife

2020/08/19 22 users IDaaS r-weblife 既存 REST API 注目

こんにちは、ritou です。 最近のあれこれでIDaaSと呼ばれる機能に注目が集まっているような気がしますが、どうしてもフロントエンドでの導入部分が目に付きます。 「新規サービスで使っていこう」ならまだしも「既存のを何とかしたい」みたいな場合にフロントエンドまでごっそり変えるのなんて腰が重くなって仕方ない感... 続きを読む

β公開された1Passwordのパスキー対応について調べてみた - r-weblife

2023/06/19 20 users r-weblife iCloud Keychain 公開

こんにちは、ritouです。 β公開から少し時間が経ってしまいましたが、1Passwordのパスキー対応について確認して整理しました。 www.publickey1.jp これまでAppleのiCloud KeychainやAndroidのGoogleパスワードマネージャーなどが プロバイダとしてのパスキーのサポートをしてきた中で、1Passwordが同様の対応をすること... 続きを読む

パスキー対応における2つの段階と必要な機能

2024/01/28 19 users 段階 パスキー対応 機能 フィッシング リスク

パスキー対応 という記事を見ると フィッシング耐性があるパスワードレスな世界が来る！ と期待を抱き、冷静に考えて パスワードが残ってるうちはリスクは残ってるしフィッシングにもやられるし何にもかわらねぇじゃねーか と遠い目をしてしまう皆さん、こんにちは。 ritou です。 いきなり一気に進むわけがないだろ。と... 続きを読む

YAPC::Tokyo 2013にてOpenID Connectについて話しました - r-weblife

2013/09/23 18 users YAPC idcon r-weblife スライド トーク

こんばんは, ritouです.タイトルの通りです.普段発表とかしてる idcon に来る方々と別の層にも知ってもらいたいという思いからトーク申し込んだのですが, 基本的に出不精なので, かなりアッウェーイ感が漂う感じでしたがなんとか行ってまいりました. スライドはこちらです. YAPC::Tokyo 2013 ritou OpenID Connect from Ryo Ito内容はこんな感じです.... 続きを読む

OpenID Connectを体験できるデモ環境の紹介 - r-weblife

2011/08/17 15 users r-weblife Rack OpenID Connect

こんばんは、ritouです。最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。OpenID Connect Sample OPまずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。OpenID Connect RubyGem リリース - OAuth.jpOpenID Connect の OP & RP 用の Rub... 続きを読む

FIDOの最新動向から考える巨大プラットフォーマーとの関係 - r-weblife

2022/05/23 14 users FIDO プラットフォーマー r-weblife 最新動向

おはようございます、ritouです。 Google I/O の "A path to a world without passwords" っていう発表、ご覧になりましたか？ www.youtube.com FIDO, WebOTP, FedCM...いいネタ揃ってますね！今回はFIDOの話をしましょう。 パスワード認証はもう終わり！時代はパスワードレス認証ですよと言い続けてはや数年経ちました... 続きを読む

Appleの発表したPasskeys in iCloud KeychainはWebAuthnをどう変えるのか - r-weblife

2021/06/14 14 users WebAuthn r-weblife WWDC2021

おはようございます、ritouです。 先日のWWDC2021の "Move beyond passwords" というセッションにて発表された "Passkeys in iCloud Keychain" という仕組みについてどんなものかを紹介します。 developer.apple.com WebAuthn 数年前からパスワード認証を置き換えると言われ続けている認証技術の一つである "WebAuthn" (... 続きを読む

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

2019/12/02 14 users OIDC Binding qiita.com フロー 攻撃

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む

Cookie使ったセッション管理も認可だと思うわって話 - r-weblife

2014/02/03 13 users r-weblife 認可 cookie セッション管理 しくみ

こんばんは、ritouです。OAuthが認可の仕組みだっていうのはだいぶ広まった感ありますね。でも、なんかまだしっくりこないっていう人いると思います。その理由の一つとして、Webアプリケーションでよく使われている”Cookieを使ってログインセッションを保持する”しくみ、あれが一般的に認証って言われてるせいじゃないかと思ったりします。こいつ、OAuthと同じで、途中で認証もしてるけど、全体で見ると... 続きを読む