OAuthのメリットは認可のためのプロトコルであること 従来のID・パスワードを利用した場合と比較した、OAuthの特徴とフロー
システム関連で幅広い事業を展開しているサイオステクノロジーのプロフェッショナルサービスチームが、日々何を考え、どんな仕事をしているかを共有する「SIOS PS Live配信」。今回は、利用頻度の高いOAuthをテーマにシニアアーキテクトの武井氏が登壇しました。まずはID・パスワード認証と比較しながら、OAuth認証について紹介します。全4回。 セッションのアジェンダ 武井宜行氏:こんにちは。SIOS PS Liveの第1回目を始めます。SIOS PS Liveでは、サイオステクノロジーのプロフェッショナルサービスラインのエンジニアたちが、隔週に渡っていろいろな技術情報を提供していきます。 弊社は認証、特にプロフェッショナルサービスラインは認証技術を得意としている部署なので、第1回目は「OAuthの入門」と題して、「世界一わかりみの深いOAuth入門」について説明したいと思います。さっそく始
OAuth 2.0 / OIDC を理解する上で重要な3つの技術仕様
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。 冒頭は、OAuth 2.0の概念や認可・認証までの流れと、それを理解する上で避けては通れない3つの技術仕様(JWS・JWE・JWT)についての解説です。 OAuth 2.0とは 川崎貴彦氏:株式会社Authleteの川崎です。本日は「OAuthとOpenID Connectの入門編」ということでオンライン勉強会を開催しますので、よろしくお願いします。最初にOAuth 2.0の概要の説明からです。 ブログに書いてある内容と一緒なんですが、まずユーザーのデータがあります。このユーザーのデータを管理するのが、リソースサーバーです。このユーザーのデ
OAuthとは? 認証・認可の違いから、認可の仕組み、メリット・デメリットまで紹介
現在のWebサービスにおいて必要不可欠な技術がOAuthです。本記事では、OpenID(OpenID Authentication)との違いから、認証・認可について、OAuthのメリット・デメリットまで紹介します。 OAuthとは OAuth(オーオース)とは、アクセス権限の認可を行うためのオープン標準プロトコルです。認可とは、第三者のアプリケーションに、自分のアカウントを用いたWebサービスAPIへのアクセス権限を委譲することを言います。 主にWebサービス同士を連携させて、便利に利用しやすくするための仕組みとして用いられています。OAuthを利用することで、例えばX(旧Twitter)とFacebookを連携させて、Xへ投稿した同じ内容を自動的にFacebookへも投稿させるといったことができます。 OAuthの作成が始まった2007年ごろ、当時はマッシュアップによるWebサービス連携
SPA認証トークンはlocalStorageでもCookieでもない、Auth0方式はいいねというお話 - @mizumotokのブログ
SPA認証トークンをどこに保存するかは論争が絶えません。localStorageやCookieがよく使われますが、Auth0は違う方法を採用しています。この記事では、Auth0のトークン管理の方式を理解でき、トークン管理上のセキュリティへの理解を深めることができます。 SPAの認証トークンをどこに保存するか ブラウザでトークンを保存できる場所 保存場所の比較 メリット・デメリット Auth0のアプローチ トークンはインメモリに保存 OpenID Connect準拠とトークン取得のUI/UXの悪化回避を両立 Auth0のjsライブラリ ログイン アクセストークンの(再)取得 図解 ログイン アクセストークンの(再)取得 自サービス内の認証だけのもっと簡易な構成 ログイン IDトークン取得 まとめ SPAの認証トークンをどこに保存するか React やVueで認証付きSPA(Single Pa
"仕様が読めるようになるOAuthとOpenID Connect入門"の質問への回答
ritouです。 某イベントのこの辺で出てくる質問に回答してみました。 Q. SAMLとの違い A. OAuthとは目的/用途が異なる。OIDCとの比較では、SAMLをモダンにしたのがOIDCという認識でおk。XML->JSON, XML Signature->JWTみたいな仕様の違いがある。あとはOIDCはSPAやモバイルアプリ、Verifiable Credentialsといった世の中の動向に追従して現在進行形で拡張仕様やプロファイル、ベストプラクティスの策定が進められている。 Q. 言葉の定義 A. 英語では決まっている。日本語に変換するときにおかしくなったり、IDaaSなどでOIDCをそのまま適用していない場合などで用語の混乱が起こりうる。 Q. 人間が介在しない認証フローではImplicit?非推奨? A. おそらくClientCredentialsの方が適している Q. Con
OAuthの認可はどのような流れで進むのか? アクセストークン取得のための3つのフロー
システム関連で幅広い事業を展開しているサイオステクノロジーのプロフェッショナルサービスチームが、日々何を考え、どんな仕事をしているかを共有する「SIOS PS Live配信」。今回は、利用頻度の高いOAuthをテーマにシニアアーキテクトの武井氏が登壇しました。続いて、OAuthの認可の流れと、アクセストークン取得のためのフローについて紹介します。前回はこちらから。 OAuthの認可の流れ 武井宜行氏:次に、OAuthの登場人物を説明します。(スライドを指して)いろいろ書いてありますが、OAuthの登場人物をざっくり言うと、認可サーバー、リソースサーバー、クライアント、リソースオーナーです。 さっきの図をベースに説明すると、リソースオーナーはAさんにあたる、Facebookの中の投稿の一覧を保有している人です。認可サーバーは、Aさんを認証する人、認証を提供するサーバーです。リソースサーバーは
OAuth 2.0 を参加者全員がある程度のレベルで理解するための勉強会を開催しました | DevelopersIO
現在私は barista という OpenID Connect と OAuth2.0 に準拠したID製品の実装を行っています。 また、私の所属する事業開発部では prismatix というEC、CRM の API 製品の開発を行っていますが、この prismatix の認可サーバーとして barista を利用しています。 barista チームの増員や、prismatix の認可についての理解を促進するため OAuth 2.0 をある程度しっかりと理解しているメンバーを増やしたかったので、勉強会を開催しました。 勉強会の内容 概要 雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本を全員で輪読 OIDC 編はこのあとやる予定 攻撃編もやりたい RFC 読んだりもしたい 参加者全員が以下を満たすことが目標 OAuth 2.0 の意図を理解
OpenID Connect, ふたつのトークンの物語
OpenID Connect, ふたつのトークンの物語 「なぜ OpenID Connect にはトークンが二種類あるの?」という質問を、たびたびもらいます。そこにはいくつかの設計上の要件があり、わたしたちは仕様策定のなかで議論してきました。 1 - RP (リライング・パーティ) からの要件は、ログイン後のユーザー・インタフェースの簡便なカスタマイゼーションです。 そこでは、ユーザーへのレスポンスを一秒以下で行うことが求められました。つまり、ユーザー ID を取得するための、IdP へのさらなるラウンドトリップ (問い合わせ) は許されなかったのです。パスワードによる認証に加えて数秒の遅延が発生するようでは、実際に使うことはできないと、多くの RP が考えています。Facebook は署名つきリクエスト (signed request) を用いて、ユーザー ID をレスポンスに格納して返
マイクロサービスで必要になるかなぁって思って僕がOAuth2とOpenID Connectをなんとなく分かるようになるまでの物語 - Mitsuyuki.Shiiba
プライベートの勉強は気が向くままにふらふらと。梅田の地下街を歩いてる感じで!(←つまり迷ってる) 元々は、Pivotal Japanさんの、この「今日から君もヒーローだ!」的なタイトルに惹かれてJava(Spring Cloud)でマイクロサービス作るぞーって進めてみたのであった。が、早速その2の「認可サーバーを立ち上げよう!」で「あー、これ知らない。分かんない。もう寝たい。」となってしまったのだった。 そんな僕が「なんとなく分かった!」になるまでの物語。・・・になるはず(ここを書いてる今はまだ分かってない)。 たぶん1ヶ月したら何を読んだか忘れてると思うので記録しとくことにした。 github.com ゴール OAuth 2.0って聞いたことあるけど、よく知らない。この辺、マイクロサービスの認証・認可部分で必要そうだなーって思うので、OpenID 2.0とOpenID Connectも含
Developers.IO 2017セッション「基礎からの OAuth 2.0」でお話してきました #cmdevio2017 | DevelopersIO
よく訓練されたアップル信者、都元です。クラスメソッドが運営するIT系技術ブログDevelopers.IOのカンファレンスイベントDevelopers.IO 2017にて、セッション「基礎からの OAuth 2.0」を発表しました。本エントリーはそのレポートです。 発表スライド 発表動画 セッション概要 システム開発をする以上、ほとんどの場合「認証と認可」は切っても切れない問題です。マイクロサービスが話題を集め、コンポーネントのWeb API化が急加速を見せる昨今。OAuth 2.0 という仕組みが継続的に注目を集めています。 しかし、いざその仕様を紐解いてみると Authorization code や Implicit 等、簡単には理解できない概念や選択肢が並んでおり、 自分が導入すべきなのはどのような仕組みなのか、判断が難しいのも確かです。 本セッションでは OAuth 2.0 の仕組
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
