OIDCを用いたID連携における "確認済みメールアドレス" の使い方と注意点
ritou です。 前の記事でちょっと確認済みメアドについての記載をしたあと、Twitterでちょっとやりとりしたり個別にDMで質問が来たりしたのでまとめます。 まとめ "確認済みメアド" のユースケースはいくつかある 新規登録時に自サービスで確認処理を行わずに利用 未登録ユーザーがソーシャルログインしてきた時に既存ユーザーとの紐付け IdPからもらった確認済みメアドをそのまま使っていい場合とそうじゃない場合がある 自サービスで提供しているメールアドレスかどうかで変わる部分を許容するかどうか email_provided のようなclaim があると便利かもしれない 確認済みメアドのユースケース 新規登録時の確認処理をスキップ これはID連携、ソーシャルログインのメリットとしてずっと言われているものです。 IdPで確認済みなのでRPは確認せずに信用して使おう というお話です。 よく知られて
ID連携の標準化仕様紹介とセキュアな実装のためのアプローチ ~ 2021 - r-weblife
おはようございます ritou です。 久々に「解説付きスライド全公開」的なやつをやります。 先月、チーム内でID連携のための標準化仕様に関する勉強会(私が一方的に話す会)を行いました。 が、実際はだいぶグダグダになってしまい、これはその後色々付け足してるうちに別物になってしまった資料です。 内容としては、ID連携のための標準化仕様にどのようなものがあるかを知ってもらうための「入門編」のような立ち位置で作りました。 OpenID Connect(やSAMLのような) ID連携のための標準化仕様を紹介しようと思うと、ついつい個別にシーケンスやリクエスト/レスポンスの説明を始めがちですが、初学者が気になるのはそんな細けぇことではないでしょう。 まずは「この仕様で何ができるようになるのだろう」「この仕様では何を実現したいんだろう」と言うところから理解していくのが良いのではないでしょうか。 そこで
OpenID Connect 全フロー解説 - Qiita
はじめに OpenID Connect は OAuth 2.0 を拡張する形で策定されました。 OAuth 2.0 はアクセストークン発行手順に関する仕様で、RFC 6749(The OAuth 2.0 Authorization Framework)で定義されています(参考:一番分かりやすい OAuth の説明)。 一方、OpenID Connect は ID トークン発行手順に関する仕様で、主要部分は OpenID Connect Core 1.0 で定義されています(参考:一番分かりやすい OpenID Connect の説明)。 RFC 6749 は認可エンドポイントという Web API を定義しています。 この API は必須のリクエストパラメーターとして response_type を要求します。 OpenID Connect は、この response_type の仕様を拡
OpenID Connectのセッションに関する3つの仕様について - r-weblife
おはようございます、ritouです。 OpenID Summit Tokyo 2015までもうちょいですね。 プログラムを見てみましょう。 OpenID Summit Tokyo 2015 仕様の話もありそうですね。 今回はRFCXXXXとして発行された系ではなく、OpenID Foundationで策定が進んでいるOpenID Connect関連の仕様を紹介します。 ドラフト仕様も、いろいろあります。 Specifications | OpenID このうち、今回は次の3個の仕様をとりあげます。 Session Management – (Optional) Defines how to manage OpenID Connect sessions, including postMessage-based logout functionality HTTP-Based Logout –
一番分かりやすい OpenID Connect の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
OpenID Connect対応の認証サーバ(OP/IdP)を作るために調べてみた - Qiita
動機 マイクロサービス化するにあたって、複数サービスに対して横断的な認証/認可の仕組みを作りたい ユーザごとに設定された各サービス、各機能ごとの権限設定(認可情報)を一元管理したい 自前でサービスプロバイダを用意する OAuthとかOpenIDとか仕組みは なんとなく わかるけど、実際どうやって作るのか知りたい 概要 2017/05時点、OpenID Connectは 1.0 OAuth2.0の上に構築されている 認証(identity layer) の仕様らしい OAuth2.0で認可を請け負い、OpenID Connect1.0で認証を請け負う? SAMLはXMLベースでWEBアプリケーション向け、OpenID ConnectはJSONベースでWEBアプリもモバイルアプリも想定している OAuthでは認証側をIdP:Identity ProviderというがOpenID Connect
OpenID Connect の JWT の署名を自力で検証してみると見えてきた公開鍵暗号の実装の話 - Qiita
はじめに 皆さん、OpenID Connect を使った Web 認証/認可システムを実装していて、「サードパーティのライブラリなんかに頼りたくない!」とか「署名を自分でパースして中身見てみたい!」とか「OpenSSL の RSA_verify 呼び出すだけじゃ物足りない!自分で $m = S^e \pmod{n}$ ってやって署名検証してみたい!」って思うことよくありますよね? ここでは、暗号関連のライブラリを使用せず、OpenID Connect の JWT の署名を自力で 検証した際に調べた内容を備忘録としてまとめてみました。 普通はライブラリ任せにする署名検証の処理も自力でやってるので、「RSA 暗号の数式も知ってるし、ライブラリ使えば暗号化もできる。だけど、平文として指定した hogehoge をどうやってあの数式に当てはめてるのか気になる」という人が読むと、もしかしたら嬉しいか
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
はじめに この文書では、OAuth 2.0 + OpenID Connect サーバーをゼロから一人で実装した開発者(私)が、得られた知見について書いていきます。基本的には「実装時に考慮すべき点」を延々と述べることになります。 そのため、この文書は、「素早く OAuth 2.0 + OpenID Connect サーバーを立てる方法」を探している方が読む類のものではありません。そのような情報をお求めの方は、「Authlete を使って超高速で OAuth 2.0 & Web API サーバーを立てる」を参照してください。そちらには、「何もない状態から認可サーバーとリソースサーバーを立て、アクセストークンの発行を受けて Web API をたたいて結果を得る」という作業を、所要時間 5 ~ 10 分でおこなう方法が紹介されています。 文書のバイアスについて 私は、OAuth 2.0 + Ope
OAuth for Native Apps | GREE Engineering
GREE Advent Calendar 9日目は @nov が担当します。 僕は GREE ではセキュリティ部に所属しており、社外では OAuth や OpenID Connect などの Identity 関連技術についての翻訳や講演などを行ったりもしています。 今日は GREE Advent Calendar ということで、Native App コンテキストでの OAuth の話を少し書いてみようと思います。 はじめに Native App を開発していると、Backend Server とのやりとりや Facebook Login や Google Sign-in などで、必ずと言っていいほど OAuth 2.0 というのが出てきます。 OAuth 1.0 と異なりリクエストに署名が不要だったり、Client Secret (a.k.a Consumer Secret) 無しでも
Passportを邦訳してわかったこと
欠陥を早期に発見するための Software Engineer in Test とその重要性 / What is Software Engineer in Test and How they works
Authenticating Node.js Applications With Passport | Envato Tuts+
In this tutorial, we will develop a Node.js application from scratch and use the popular authentication middleware Passport to take care of our authentication concerns. Passport's documentation describes it as a "simple, unobtrusive authentication middleware for Node" and rightly so. By providing itself as middleware, Passport does an excellent job at separating the other concerns of a web applica
最新のOpenAMを導入してOpenID Connect ServerとClientを実装する(IdP編) | 天上TENGA唯我独尊
IdP・・・ログインシステムを提供するカッチョイー人のこと。 RP・・・自前でログインシステムを構築することをあきらめた賢明な愚民。 今回は手元にあるレンタルサーバ群でこいつらを構築することにする。本来であればIdP側はgoogleとかfacebookとかtwitterとかを使うと思っていただければ問題あるまい。今回はまぁ、タイトルどおりIdP側を構築してみる、というのが主旨なので。 フェデレーションプロトコルといえば、”SAML”か”OpenID”なのだが、次世代プロトコルであるOpenID ConnectはOAuth2.0のシーケンスで認証連携ができるというものだ。先に中身が知りたい人はどうぞこちらのリンク(OpenIDファウンデーション・ジャパン技術使用:和訳)へ。とっても読みやすい。 構築眺めてなんとなく雰囲気がわかればいいや、という人はどうぞこのまま読み進めてくれ。 ・Ope
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
