デジタル社会における 新たな信頼の仕組みが、 新しい価値の創出へ A new system of trust leads to the creation of new value
![Trusted Web](https://cdn-ak-scissors.b.st-hatena.com/image/square/c03e1e27cdeb5c2e77b7d97bfaf5439de9835945/height=288;version=1;width=512/https%3A%2F%2Ftrustedweb.go.jp%2Ftrusted-web-ogp.jpg)
下記の仕様変更に追随するために更新。 クレデンシャルレスポンス暗号化関連のメタデータ群が credential_response_encryption という一つの JSON オブジェクトにまとめられた。 クレデンシャルレスポンスから format プロパティが削除された。 RAR オブジェクト内の format プロパティが復活した。 openid_credential タイプを持つ RAR オブジェクトは credential_configuration_id プロパティか format プロパティのどちらかを含まなければならなくなった。 クレデンシャルオファー内の credential_configurations プロパティが credential_configuration_ids へと名称変更された。 2. OID4VCI 仕様 OID4VCI 仕様は、Verifiable C
A recent post, Why, after 6 years, I’m over GraphQL, made the rounds in the tech circle. The author argues that they would not recommend GraphQL anymore due to concerns like security, performance, and maintainability. In this post, I want to go over some interesting points made, and some points I think don't hold up to scrutiny. Always be Persistin' Ok, first of all, let's start with something may
Athenz(アセンズ)は、Role Based Access Control(ロールを利用したアクセス制御)を利用して、サービス間の認証・認可を行うシステムです。 旧Yahoo! Inc.にて開発されたシステムであり、2017年にOSS化されました。 2021年1月にはCNCF Sandboxプロダクトとなり、活発に開発が行われています。 Athenz 当社では2015年からAthenzを利用しており、2017年のOSS化にも貢献しています。 社内では多くのアプリケーションが稼働し、それぞれがAPI連携にてデータのやりとりをしています。それらのアプリケーション間の認証・認可の基盤システムとしてAthenzを活用し、当社が提供するサービスのセキュリティ向上に寄与しています。 社内にて利用してきた実績をもとに、Athenzへの改善提案・関連プロダクトの開発・提供や、各種カンファレンスにて社内
Merpay Advant Calendar 2020、23日目の記事は、趣味で認証認可をやっている @nerocrux が送りいたします。 最近 GNAP という認可プロトコルのワーキンググループドラフトが出ていて頑張って細かく読みましたので、(次回はいい加減に仕事でやってることについてお話しますが)今回はその GNAP について紹介させてください。 GNAP とはなにか? GNAP は Grant Negotiation and Authorization Protocol の略で、認可のプロトコルです。Justin Richerさんという方を中心に策定しています。作者によると、GNAP の発音は げなっぷ になります。 認可(Authorization)プロトコルと言えば、OAuth 2.0 (RFC6749) が広く知られ、運用されています。GNAP は OAuth 2 の後継とし
はじめに このチュートリアルでは、『証明書に紐付いたアクセストークン』を活用して Amazon API Gateway 上に構築した API をこれまで以上に安全に保護する方法を紹介します。 OAuth アクセストークンが一度漏洩すると、攻撃者はそのアクセストークンをもって API にアクセスできます。従来のアクセストークンは電車の切符のようなもので、一度盗まれたら誰でも使えてしまいます。 この脆弱性はアクセストークンと同時にアクセストークンの正当な保有者である証拠も併せて提示することを API 呼出者に要求することで軽減することができます。その証拠は proof of possession と呼ばれ、よく PoP と短縮されます。使用時に PoP を必要とするアクセストークンは、搭乗時にパスポートの提示も併せて要求される国際線の航空券に似ています。 RFC 8705 (OAuth 2.0
IETFのOAuth WGでは、今あるOAuth2.0関連の仕様を整理し、一つの仕様としてまとめなおし OAuth2.1 として標準化するとりくみが進められています。 今回は、簡単にOAuth2.1について紹介します。 OAuth 2.0 OAuth 2.0は2012年10月に「RFC6749 The OAuth 2.0 Authorization Framework」として標準化されています。その後、OAuth2.0の改善は続けられ、セキュリティ向上のために利用すべき機能(PKCE)などが追加されているほか、逆に非推奨になっている機能(Implicit Grant)などがあります。 IETFのOAuth WGではOAuth2.0を安全に利用するためのベストカレントプラクティスを「OAuth 2.0 Security Best Current Practice」としてまとめています。 この
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く