OpenID Connectで異なるドメイン間のログインセッション不整合を防ぐ方法 - r-weblife
おはようございます, ritouです. 今日はOpenID ConnectのSession Managementについてざっくり紹介します. まとめ OpenID ConnectでOP/RP間でUserAgent上のセッションが同期される(同じユーザーがログイン状態となる)タイミングはAuthorization Responseが処理された時のみ RP上で2つのiframeを表示しRP->OPへセッション確認用のpostMessageを送り続け, ユーザーがログアウトしたら”changed”を返して状態変更を把握 RPがログアウトした時にOPにリダイレクトさせる方法も定義されてる これでだいたい把握できた人は, 仕様をどうぞ. 仕様 : http://openid.net/specs/openid-connect-session-1_0.html もう少し細かく説明します. OpenID
GoogleでわかるAccount Chooser - r-weblife
こんばんは、ritouです。 今回の内容はこんな感じです。 Account Chooserとは何かを感じる GoogleのログインをAccount Chooser仕様に変更してみる Google Identity Toolkitを用いてAccount Chooserの実装を試してみる 長文注意です。 Account Chooserとは Account Chooserについて、OpenID Connect Tech Summitに参加したり、GDDに参加したり、idcon#10の頭からちゃんと聞いていた人はわかってると思いますが、私はどれも該当しませんので調べていきます。 An open standard and user interface guidelines for the next generation of web sign in. Account Chooser UIガイドライン
OpenID ConnectのSelf-Issued OP(OIDC SIOP)の話 - r-weblife
おはようございます、ritouです。 OpenID Connect Messagesの仕様で定義されてるSelf-Issued OpenID Providerについてのお話です。 いきなり参考リンク 英語読める人は仕様読めばよい。 仕様(English) : http://openid.net/specs/openid-connect-messages-1_0.html#self_issued 参考になりそうな資料 by @nov : Self isssued-idp ざっくり説明 こんな感じです。 OS(PC, モバイル端末)やブラウザ内で動作し、openid://で呼び出される ユニークなRSAやECDSAとかのprivate/publicな鍵ペアを生成して安全に管理する クライアント(Webサービスやアプリ)からリクエストを受けたら署名付のID Tokenを返す というところです。
OpenID ConnectでOpenID Auth 2.0ライクな動的UXを実現する方法 - r-weblife
こんばんは、ritouです。 忘れてしまっている方もおられるかと思いますが、いわゆるOpenID(Authentication 2.0)を使って認証要求を送るまでに、次のような処理が行われます。 ユーザーがOP選択 or 識別子の入力 RPがDiscoveryを行い、OP Endpoint URLを取得 RP,OP間でAssociation確立 これらの処理が行われることで、RPからみると「各OPへの事前登録なんてものは不要」、ユーザーからみると「自分が使っているOPが利用できる」、OPからみると「仕様に沿って実装すればどのRPでも使える」という仕様になっているわけです。 さて、仕様策定が進められているOpenID Connectですが、何度も言ってるとおり、OAuth 2.0ベースです。 OAuthというと、あらかじめClientの事前登録(Client ID/Secretの取得)が必要
RFC7636として発行されたOAuth PKCEとは - r-weblife
おひさしぶりです、ritouです。 今日は家で風邪治してましたが、TLに流れてきた次世代なんちゃらの話題に乗っかって、ざっくりとした仕様紹介です。 ベンダー個別のパスワード管理には課税せよ!? 次世代Webカンファレンス『identity』 #nextwebconf #nextwebconf407 - Togetter OAuth PKCEがRFC7636として発行されました。 | @_Nat Zone RFC 7636 - Proof Key for Code Exchange by OAuth Public Clients 一言でいうと この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
Y!モバゲーのOAuth、ログアウトに関する噂を検証してみた #idcon - r-weblife
残念ながら出席できなかったidconですが、そこで出たY!モバゲーの噂をちょっとまとめてみましょう。 噂1.ログインするあたりでY!とOAuthでつないでいる 噂2.ログアウトのときはリダイレクトでつないでY!と相互にログアウト連携している これらを確かめるために、HTTP Headerを見て動作を推測してみましょう。 噂1.ログインするあたりでY!とOAuthでつないでいる まずは、このURLを開きましょう。 http://yahoo-mbga.jp/ Yahoo!JAPAN IDだけで遊べる! →今すぐ遊ぶ! って感じで押すと、ヤフーのログイン画面が表示されます。 ここで、HTTP Headerは以下のようになっていました。 【リクエスト】今すぐ使う! http://yahoo-mbga.jp/login/yahoo GET /login/yahoo HTTP/1.1 ... 【レスポ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
