Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか? Cookie vs JWT 認証に JWT を利用するのってどうなの? JWT をセッション管理に使うべきではない! リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは - r-weblife
おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to be adopted by the OAuth working group soon. まだDraft中のDraftな状態ですが、まいくたんの推し感が出ているのでざっと見ておきましょう。 OAuth2.0 DPoPとは? tools.ietf.org This document describes a mechanism
RFC7662として発行されたOAuth Token Introspectionとは - r-weblife
こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想像する方もいるかもしれませんが、この仕様はそれとはあまり関係ありません。 この仕様はOAuthのProtected Resourceのための仕様です。 RFC 6749 - The OAuth 2.0 Authorization FrameworkのRoleのところには、resource serverがprotected resourceをホストしていて、 access tokenを用いたリクエストを受ける、とあります。
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。 久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OAuth 2.0 Authorization Framework JSON Web Signature (JWS) 想定する環境 わりとよくある環境を想定しています。 OAuth 2.0で認可サーバーとリソースサーバーがある 認可サーバーがAccess Tokenを発行 リソースサーバーがAPIリクエストに含まれるAccess Tokenを検証する よくある実装とその悩みどころを、JSON Web Token(JSON Web Signature)により軽減できるかもという話です。 よくある実装 : Access Tokenに一見ラ
特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife
こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっかいな問題が残ってました。 今回は、「ネイティブアプリケーションからOAuth 2.0を使うとき、特定の条件下において、正規のClientではない悪意のある第3者に認可応答を持って行かれて、その結果Access Tokenを取得できちゃうリスクがあるよね。どうしようか。」っていう話です。 条件っていうのは、 OAuth 2.0のClientはネイティブアプリケーションであり、Client C
GoogleのCross-client Identityのしくみについて - r-weblife
こんばんは、ritouです。 GoogleのCross-client Identityっていうドキュメントについて気にされている方がいたので自分なりの解釈を書いておこうと思います。 GoogleのCross-client Identity - 高温処理済みコースケ 何の話か これですね。 Cross-client Identity | Google Identity Platform | Google Developers 実はこのドキュメントけっこう前に出たやつなんですが、あまり注目してる人は少ないですね。 概要はこんな感じです。 一般的には、1つのプロダクトにWebアプリやNativeアプリなど様々なコンポーネントのアプリがある Googleはそのあたりを意識して"プロジェクト"の下にアプリケーションがぶら下がるようになっており、それぞれがclient_idを持ってる 普通のO
ここ数年気になっているデバイスまたぎのログインフロー - r-weblife
おはようございます、ritouです。 GWも終わり、今日からまた仕事だー5月病だーなんて思っておられるところかと思います。 そんな皆様のやる気を減退させるような、後ろ向きなエントリを投げつけたいと思います。 今までいくつか関連するエントリを書いてきました。 GoogleのQRコードログインのしくみを勝手に想像する - r-weblife PCのLINEアプリにQRコードでログインできるのはちょっとよくないと思う - r-weblife この話はなかなか共感していただける方が少ないようです。 で、だんだん「あれ?私が変態なだけなのかな?」と思ってきました。 まぁ否定はできないところなのですが、今一度整理しておきたいと思います。 何の話か 次のようなサービスです。 TVやPCなどで利用するサービス 認証はスマホでしたい こんなことしたい理由としてはきっと 認証方式がパスワード認証であり入力時に
なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife
こんばんは、ritouです。 Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub 今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:left gistに書いた通り、私の考える今回の問題の本質はoauth_callbackの管理、その一言に尽きます。他に2legged OAuthが入るとごちゃごちゃするので、OAuth 1.0の実装のポイントについてまとめてみました。 なんとなくOAuth怖いって思ってるやつちょっと来い from Ryo Ito もちろんこれだけではわけがわからないと思うので、説明が聞きたければどこかで話してもいいです。ぜひ声をかけてください。 普段は秋田にいますが、唯一この勉強会にはよく参加しているの
idcon 15thで発表した認証プロバイダの紹介 - r-weblife
こんばんは、ritouです。 2/1(金)にidcon 15thが行われました。 内容の紹介については今回も @mad_p さんに甘えさせていただきます。 idcon15レポート - mad-pの日記 200人ぐらいの前で話すのはしんどいんだろうなと思いましたが、今までのidconでの発表と同じ程度には空気読まずにできたかなと思います。 自分の発表資料はここにおいておきました。 #idcon 15th ritou 2factor auth from Ryo Ito 後半で、追加認証に特化した認証プロバイダを作ってみた話をしました。 RPのURLとか載せるの忘れてたのでちょっと紹介します。 アカウント登録 https://2ndauth.openidconnect.info/ の Sign upから登録できます。 簡単なフローを紹介します。 1. Y/G/Fのいずれかを用いて確認済みメールア
RFCになったOAuth 2.0を使ってGoogleはどれだけパスワード入力を減らせるのか - r-weblife
※ 2012/10/17 少し文章を修正しています。 こんばんは、ritouです。 OAuth 2.0(とBearer Tokenの使い方)がRFCになりました。 RFC 6749 - The OAuth 2.0 Authorization Framework RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage 最新仕様に合わせてAPIを提供しているサービスはついに「OAuth 2.0の最新仕様(Draft 31)」じゃなくて「RFCで定義されているOAuth 2.0の仕様」とか言えるわけですね。 せっかくなので何か書こうと思ったところで9月末ぐらいに流れていたGoogleの話を思い出しました。 先月出されてたブログエントリ : Google Developers Blog: Adding OAuth 2
ac.jsを用いたAccount Chooser導入について - r-weblife
こんばんは、ritouです。 9/18(大阪),9/21(東京)で行われたID&IT Management Conference 2012:開催概要にOpenIDファウンデーション・ジャパンのエバンジェリストとして参加させていただきました。 普段覗くことのできないエンタープライズやアカデミックな分野のIdentity Managementを感じられたすばらしいカンファレンスでございました。 その中のミニシアターでもう一人のエバンジェリストが説明していたAccount Chooserのデモに使われているJavaScriptのあたりについて久々にエントリを書くことにしました。 Account Chooserとは Account Chooser #idit2012 これ見ておわかりのとおり(?)、OSにログインするときのようなUXをWebサービスに持って来るようにログインするアカウントを選ぶよう
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
