こんにちは！技術部の小池です。 この記事は Tech Kayac Advent Calendar 15日目の記事です。気付いたらもう12月も半分じゃないですか…もう今年の営業は終わりにしてお酒飲んで年越しを迎えたい気分ですね〜。 今回はマルチテナントなサービスにおける認証と権限管理についてのお話です。 要件 今回お話するサービスはカヤックグループ全体に提供する予定のマルチテナントのサービスです。カヤックの文化を支える 360度フィードバック、スマイル給 などの複数のサービスが協調して動作するというサービス指向的なアーキテクチャで、既存のカヤック社内サービス群のリニューアルプロジェクトでもあります。 カヤックグループ向けに提供するサービスなので、認証をしないことには利用することはできません。また、カヤックの社員が他のグループ会社の情報を見れてしまうというのも困ったことになってしまうので、組織

この記事は 認証認可技術 Advent Calendar 2019 の 9 日目の記事です。 前日は Munchkin さんの『認可機構によるアクセス制御とビジネスロジックによるアクセス制御の使い分け』でした。 kishisuke さんの『Sign in with Apple+Cordovaについて』でした。 id:tmd45です、ごきげんよう。 仕事では主に認可の RP 側として toC な認可 IdP（LINE, Google, Yahoo! JAPAN, Facebook, Twitter, など）に接しています、よろしくお願いします。 § 認証認可界隈でお仕事していると、社内からもお客様からも「シングルサインオン」（Single Sign-On, 略称 SSO）という便利機能について話題に上がることがあります。 ただこの「シングルサインオン」という単語の定義がちょっとあいまいで、開

JWT とかいてジョットと詠む。どうも、かわしんです。タイトルは釣りです。 この記事は、JWT はログアウトが大変 という内容です。以下で挙げるデメリットを許容できるなら JWT をユーザに渡してもいいと思います。 ログアウトとは、管理者による強制ログアウトや、ユーザのパスワードの変更による全トークンの無効化をさします。ログアウトによって全てまたは一部のトークンが無効化されるユースケースです。 JWT におけるログアウト JWT はログアウトが大変です。なんかいい方法がないものかと調べていましたが、以下の記事に落ち着きました。 javascript - Invalidating JSON Web Tokens - Stack Overflow この記事の結論としては、いい方法などない というものです。残念でした。 JWT をログアウトに対応させる方法は ブラックリストを用意する か トーク

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブアプリのID連携に注目が集まったことがありました。 バックエンドサーバーがあるネイティブアプリでID連携(ソーシャルログイン)の機能を実装してた ネイティブアプリからバックエンドサーバーに Identity Provider の識別子、ユーザー識別子の組み合わせを送ることで認証状態にしてた 推測したり総当たりなどで...可能性があった というお話でした。 この記事では "各Identity Providerが提供している SDK などを使ったり使わなかったりしながら安全に認証機能を実現するための方法" を整理します。 Webアプリ

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開！ OAuth・OIDCへの攻撃と対策を整理して理解できる本（リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援！OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ

おはようございます、ritou です。 qiita.com これの初日です。 なんの話か 皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！ リンク貼るのは省略しますが、年に何度か見かける記事です。 個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。 なのでそれはおいといて、この話題を扱う記事は クライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess

#iddance Lesson 2. Digital Identityの秋の発表資料です。 https://idance.connpass.com/event/146664/

2019/10/28 開催の #webauthn_study の発表資料です。 https://web-study.connpass.com/event/149833/

下記カンファレンスでの発表資料です。 https://builderscon.io/builderscon/tokyo/2019/session/c9da9bfb-c97c-4f93-a496-ff83b3ca61bc

2019-08-30 builderscon https://builderscon.io/builderscon/tokyo/2019/session/c68ed2e4-f3ef-46ad-908a-9e8b3e5dcb9b

Abstract 概要 Webアプリケーションからモバイルアプリケーションへのシフトの後、さらに様々なデバイスでユーザーに紐付くコンテンツが扱われるようになりました。 それに伴い「手元のデバイス」を用いたサービス利用の仕組みを目にします。 スマートフォンでサービスの利用登録、認証 スマートフォンで決済 これらを実現するためにはいくつかの技術の組み合わせが必要です。 QRコード、NFC、BLEなどサービスを提供するデバイスと、ユーザーが扱うデバイスの間で通信を行う技術 FIDOのようなデバイスを用いた安全な認証技術 ユーザーの同意ベースでサービスを提供するためのプラットフォーム技術 サービスの特徴に合わせたそれぞれの技術選定と全体設計を1から行うのは骨が折れる作業でしょう。 Webアプリケーションやネイティブアプリケーションとサービスの認証認可の仕組みにおいて広く使われるようになったOAut

Abstract 2019年3月にWebAuthnはW3Cの正式な勧告となり、「安全」「パスワードレス」「生体認証」というキーワードとともに期待が高まっています。 昨年のbuildersconでは、注目を集め始めたWebAuthnとFIDOをきっかけとして「みんなでパスワードレスな世界を迎えるためにできることを確認しよう」というお話をしました。 その後、じわじわとWebブラウザやOSの対応が進む中、WebアプリケーションでWebAuthnを利用するためのライブラリの開発も各言語で進められています。 環境面では、2019年2月にAndroid、そして5月にはWindows HelloがFIDO2の認証を取得したことが発表されました。 これは自らセキュリティキーを購入するような新しい技術に敏感な開発者、ユーザーのみがFIDOを体験できる環境から、いわゆる一般的なユーザーもFIDOを利用できる環

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I believe the approach shows a lot of promise and is likely to be adopted by the OAuth working group soon. まだDraft中のDraftな状態ですが、まいくたんの推し感が出ているのでざっと見ておきましょう。 OAuth2.0 DPoPとは？ tools.ietf.org This document describes a mechanism

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、ID厨のくら（@kura_lab）です。 前回の「YConnectで簡単ID連携！その１ ～ログインボタンの設置～」でログイン機能を実装しました。今回は引き続き「YConnect PHP SDK」をつかって、ユーザーの登録情報を取得する方法について解説したいと思います。 「UserInfo API」を利用して、ウェブサイトの新規アカウント登録時のフォームにYahoo! JAPANに登録されている情報をプリセットしましょう。 目的：Yahoo! JAPANを利用ユーザーの登録情報取得の実装 対象：PHP基礎レベル以上 所要時間：およそ15分 環境：Apache + PHP 5.2.x 以降（curl、json関連パッケー

SITFのWGにて技術面で検討したことと今後やっていくこと - r-weblife Identity と Attribute が別々に提供される OAuth を二段に連携させることによって Identity + Attribute が結びついた情報を得られる 二段のうちの片方である、IdP が AtP から ユーザー識別子を取得するフローに注目してみましょう IdP は、ログイン中のアカウントが持つ Identity と、取得した Attribute を結び付けます http://sitf-idp.openidconnect.info/ が http://sitf-ap.openidconnect.info/ から取得する Attribute の例 ユーザー識別子 : 22 組織名称(英字) : Bakada University 組織内所属(英字) : Philosophy 組織名称(日

こんばんは、asannouです。 この記事を読まれた方はいるでしょうか。 http://journal.mycom.co.jp/news/2011/05/19/098/index.html 不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。 (っていうか地震情報が消えるまでスクリーンショット待てなかったんでしょうか) これって、Facebookの友達検索ツールが原因のひとつだったみたいです。 ↓ amazonaws.comからYahoo! JAPANへの不正ログイン？それって・・・ - r-weblife 結局何が問題なのか この件で、悪いのは誰だったのでしょうか？ Yahoo!メールから、自分の知り合いのメールアドレスを取り出そうとした、わがままなユーザー Yahoo!メールから、ユーザーの知り合いのメールアドレスをWeb S

ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R＆D統括本部 開発推進室 セキュリティプラットフォーム技術 セキュリティスペシャリストの戸田　薫です。 今回は、私たちが普段からヤフーのシステムに対する入力にどのような注意を払っているのか、そのいくつかをご紹介致します。 入力とは? Webサイトを運営している場合、どのような入力があるでしょうか？ たとえば、Webサービスには、以下の入力があります。 Cookie URL GET/POSTのデータ ファイルのアップロード その他リクエストヘッダ そのほかにもいくつもあります。 環境変数 設定ファイル クローラが取得したデータ パートナー企業のAPIから取得したデータ（XMLやJSONなど） パートナー企業の入稿用 F

弊社のアプリが動かないという残念な問い合わせがいくつかあったので、1日ばかりずっと悶々と調べてみたりした。結局Cookieの挙動によるものだったんだけど、Cookieの有効期限の挙動がブラウザごとに違っているらしく、ちょっとハマッたので備忘録としてまとめてみた。 Cookieの仕様のおさらい Cookieは、HTTP State Management Mechanism(HTTP 状態管理メカニズム)というタイトルで、RFC2965で定義されているみたいだが、各種ブラウザの実装は、Cookieを導入したNetscape Navigatorの実装に基づいているようだ。 ここでは、Cookieの仕様についての説明は割愛するが、超簡単にまとめると以下の通り。 サーバ クライアントに保持してもらいたい状態情報を、HTTPレスポンスのSet-Cookieヘッダに乗せて送出する Set-Cookie: