OAuth2.0からOAuth2.1へ よりよい銀行システムを届けるためにLINEが参考にした技術
LINE株式会社の開発拠点の一つである「京都開発室」が、オンラインのエンジニア採用説明会を開催。銀行事業のサーバーサイド開発について、Robert Mitchell氏、野田誠人氏が話をしました。 LINEの銀行サービスとは Robert Mitchell氏(以下、Mitchell):サーバーサイドチームのMitchell Robertと申します。本日、野田さんと一緒に、LINEの銀行サービスの開発について発表したいと思います。よろしくお願いします。 今日の内容ですが、以下の通りになります。まずはLINEの銀行サービスとはなにかついて、軽く説明したいと思います。その後、システムアーキテクチャと開発フローについて話したいと思います。最後は、認証と認可で、これは私たちが担当している部分です。これに関連するスペックや、セキュリティの仕組み、フローについて話したいと思います。 じゃあ、LINEの銀行
Apigee と Google Cloud Armor による多層 API セキュリティ | Google Cloud 公式ブログ
※この投稿は米国時間 2021 年 3 月 16 日に、Google Cloud blog に投稿されたものの抄訳です。 情報セキュリティに関するトピックは、毎日のように大きなニュースになっています。大小のスキームで使用される悪意ある bot や、有名な大企業とその顧客を巻き込み、最終的に多数の政府機関、民間組織、人に影響を与える全面的な「ソフトウェア サプライ チェーン攻撃」など、さまざまなセキュリティ リスクについて、おそらく耳にされたことがあるはずです。 企業がオンライン チャネルで顧客にサービスを提供したり、場所を問わず世界中のリモート ワーカーと業務を行ったりする目的でデジタル プログラムを拡張するのに伴い、このようなセキュリティ攻撃がより一般的になると予想されています。アプリケーション プログラミング インターフェース(API)は、さまざまなアプリケーションやサービスの原動力と
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
30分でOpenID Connect完全に理解したと言えるようになる勉強会
社内向け勉強会で発表した内容です。 30分でと書いてありますが、実際には50分かかりました。 また時間の関係で結構省いたりしている箇所があります。 2020/07/19追記 ご指摘をいただいた箇所を多々修正いたしました。 特にOIDCとSPAの章が初版とは大幅に変更されていますのでご注意く…
Authlete の概要 - Authlete
Authlete とは? Authlete は OAuth 2.0 および OpenID Connect を実装するための BaaS(Backend as a Service)です。Authlete が提供する Web API を使うことで、簡単に OAuth 2.0 および OpenID Connect の機能を簡単に実現できます。 なぜ Authlete が必要なのか? サービスの Web API を実装する場合、サービスを提供する側は、OAuth 2.0(及び OpenID Connect)を実装すること必要となります。しかしながら、その実装は容易ではなく、実装に多くのリソース・時間が必要となります。また、個人データを管理すること自体、非常に慎重を要する作業です。限られた社内外のエンジニアのリソースを使い、これら課題を解決しつつ、競合よりも先にサービス提供することは、非常に大変です。
PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと - Qiita
PKCE とは PKCE をご存知でしょうか? これは、今から一年ほど前の 2015 年 9 月に RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) として公開された仕様を指しています。認可コード横取り攻撃 (authorization code interception attack) への対策として策定されました。 細かい条件は幾つかありますが、スマートフォンで OAuth クライアントを作る場合は、クライアント側も認可サーバー側もこの仕様の実装が強く推奨されます。これを実装しておかないと、悪意のあるアプリケーションに認可コードを横取りされてしまい、結果、悪意のあるアプリケーションがアクセストークンを取得できてしまいます。 この仕様自体のちょっとした解説は、「OAuth & OpenID Connect 関連仕
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
OpenID Connectはそんなに大変かね? - OAuth.jp
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る – Qiita ってのになんかフォローアップしろよ的なのが来たので。 ざっと読んだ感想としては、「OpenID Connect の OPTIONAL な機能全部実装したら、そら大変ですね」という感じ。(Authlete に関しては、OpenAM みたいな感じで使われる、OpenAM よりはるかに簡単に使える代わりに有料の何かなんだろうな、というイメージです) OAuth は必要なのか? Basic 認証は死んだ。 ユーザー単位での API のアクセスコントロールがしたいです。 っていう前提で話すると、OAuth 以外まともな選択肢が無いんじゃないでしょうか。 OAuth の各種 Extension (RFC 6749 & 6750 以外にいろいろある) に関しては、適宜必要なのを実装すればいいんだけど
Authlete はAPIエコノミーの基盤となる認証・認可技術をクラウドサービスで提供し成長を目指す | FINOLAB
Authlete Japan 川崎 貴彦 × Longine FinTech取材班 今回は、株式会社Authlete Japanの川崎 貴彦代表取締役に、Web APIの認証及び認可の機能を実装するクラウドサービスへの取り組みについて伺いました。 読者に伝えたい3つのポイント Authlete Japanは認証・認可技術をクラウドサービスで開発会社等に提供することを目的に2015年9月に創業されました。 同社のソリューションは、認証と認可を分離したアーキテクチャーに特色があり、これによりユーザーは既存のシステム資産を活かしながら迅速かつ効率的にWeb APIへの対応を進めることができます。 APIエコノミーは分野を問わず拡大しているため、同社は金融(フィンテック)に留まらず、IoT、EC、ヘルスケアなど様々な市場を事業機会として取り込むことが期待できます。 認可(Authorization
Authlete を使って超高速で OAuth 2.0 サーバー & API サーバーを立てる - Qiita
Authlete を利用して, 超高速で OAuth 2.0 サーバー & API サーバーを立てる方法を解説する. 対象読者 OAuth 2.0 の基本的な概念 (アクセストークン, 認可コードフロー, 認可エンドポイント, トークンエンドポイント等) を大体把握している人 (もしカスタマイズしたいなら) Java 屋さん 所要時間 5~10 分 システム構成 構成は下図の通り. また, 今回は以下のようにダミー情報を用いることに注意. エンドユーザー情報 → 認可サーバー内に定義されたダミー情報 リソース → リソースサーバー内に定義されたダミー情報 手順 手順は以下の通り. Authlete にサインアップ 認可サーバーのセットアップ リソースサーバーのセットアップ 動作確認 1. Authlete にサインアップ 1.1. サインアップ こちらから, Authlete にサインアッ
金融 API 時代のセキュリティ: �OpenID Financial API (FAPI) WG
タイトル: 『認証の課題とID連携の実装 �〜ハンズオン〜』 概要: FIDO、ID連携(OAuth・OpenID Connect)をはじめとした最近の技術をご紹介します。FIDOは端末とサーバー間でユーザー認証を安全に連携するための仕組みです。OpenID Connectはユーザーの認証と認可を連携するためのID連携の仕組みで、OAuth 2.0を拡張した仕様であり、HTTP通信やJSONなど基礎的なWeb技術によって構成されています。FIDOとID連携の技術を学んだ後、実習ではGolangを用いてWebアプリケーション上にOpenID Connectを実装します。実装の注意点とそのリスク、仕様に施されているセキュリティー対策についてハンズオンを行いながら解説します。 セキュリティ・キャンプ全国大会2019 専門講義 選択コース B4 認証の課題とID連携の実装 〜ハンズオン〜 Aug
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
