はてなブックマーク

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ritou です。 今回は RFC 8725 JSON Web Token Best Current Practices を紹介します。 みんな大好き JWT (JSON Web Token) の BCP ときたらチェックせずにはいられないでしょう。 概要 JWTは 署名/暗号化が可能な一連のクレームを含む、URLセーフなJSONベースのセキュリティトークン です JWTは、デジタルアイデンティティの分野および他のアプリケーション分野の両方の多数のプロトコルおよびアプリケーションにて、シンプルなセキュリティトークンフォーマットとして広く

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? (続きのドキュメントも書いてます。IETF OAuth WGの仕様全部...じゃなく差分見る - 2020/12) 目的 OAuth 2.0の仕様について "RFC6749" "RFC6750" の2つです。という紹介がされることがよくあります。 しかし、このRFCが策定された IETF OAuth WG には他にもたくさんの策定済み、策定中の仕様が存在します。 実際のサービスにOAuth 2.0を導入する際、扱うデータやアプリケーションの動作環境などにより、別のRFCの仕様を参照、導入する機会も発生するでしょう。例えば最近聞くことの多

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ritou です。 概要 以前、 WebAuthn の流れで、アカウントリカバリーについて書きました。 WebAuthn など新しい認証方式を受け入れる際の「アカウントリカバリー」の考え方 上記の投稿は 複数の認証方式 ユーザー自らの設定変更機能 を用意することで「詰む」ことを避けようという、いわゆる「クレデンシャルマネージメント」の話でした。 例えば家の中で FIDO2 対応のセキュリティキーを失くしたような場合は悪用されることをあまり想像する必要はないかもしれませんが、会社や移動中に失くした、もしくは盗まれた可能性があるような場合は

ritou です。 WebAuthn が普及し始めるタイミングになると、サービスがその恩恵を受けるために開発者はどのように使うべきか、実装をすべきかを考えるでしょう。 今までの経験から、きっとこれぐらいの実装パターンに落ち着くんだろうなってのを書いておきます。 前提 現状の WebAuthn については、多くの開発者は仕様の解説や Client (ブラウザ)実装の足並み、 Authenticator の普及具合を様子見している状態かもしれません。 この記事では、少し先の未来、つまりそれらが満足いく状態になり、実装するタイミングを想定しています。 仕様 WebAuthn の安全性/利便性が様々な方面から評価され、普通にプロダクションで使うにも不安のない状態 実装 : 鶏も卵もある。あとは食べるだけ状態。 Client = ブラウザの実装がある程度整い、ほとんどの環境で動作する (FIDO2)

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? ritou です。 この前、こんなイベントを覗いてました。 [自由編集可] 次世代 Web カンファレンス 2019 AuthN/Z セッション (#nwc_auth) この中で WebAuthn が流行るためにアカウントリカバリーのあたりが難しいと言う話題が出ていました。 もしかしたら話している人の「難しい」と聞いている人の「難しい」が違う可能性もありそうですが、聞いている人の方が漠然と「難しそう」って感じなのが気になりました。 記憶認証に比べると所持認証や生体認証の方は「●●したら終わり」と言う印象が強く、それをメインの認証方式に利

Googleが提供する One-Tap Sign-Up / Automatic Sign-In 機能とは 今回はGoogleが提供する、登録/認証のUXを便利にできるかもしれない機能を紹介します。 概要 One-tap sign-up and auto sign-in on websites "現状" の機能を3行でまとめると One-Tap Sign-Up : Google でログイン中のユーザーのクレデンシャル(プロフィール情報、ID Token などを)1タップで取得 Automatic Sign-In : One-Tap Sign-Up でクレデンシャルを取得したユーザーは、次回から自動的に取得できる。オプションとしてパスワード認証などとの組み合わせも可能 Google に複数アカウント(個人 + 会社のアカウントとか)でログインしている時は どちら も選択したユーザーのクレデンシ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 新規登録やリセット機能を用いたスクリーニングが行われたと思われる事案がよく出てきますが、だんだん拾うのめんどくさくなったのでお暇な方は編集リクエストをください 概要 パスワードリスト攻撃を受けた経緯がニュースになっていました。 対岸の火事ではない、ディノス・セシールを襲った新型リスト攻撃 有料会員限定記事なので見れない人は Googleのキャッシュとかでなんとか この記事をどうぞ。 巧妙化するECサイトへの不正アクセス。セシールの被害は「二重登録防止機能」の悪用が原因 まとめると リスト攻撃を受けた 施行されたメアドは登録済みのものだけ

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? パスワードレスなユーザー認証時代を迎えるために開発者は何をすべきか 概要 最近は「パスワード不要」というパワーワードとともに WebAuthn/FIDO が話題に上がり、”ユーザー認証周りに変化が訪れそう”な雰囲気を感じます。 Google や Yahoo! JAPAN のように、自社で幅広いサービスを展開するだけではなく他社や一般開発者のサービスにID連携の仕組みを通してアカウント情報を提供しているようなところは新しいユーザー認証方法のための仕様策定に積極的に参画したり、自身の提供するサービスで採用を始めています。 一方で、そこまでD

Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? 概要 担当するプロダクトにおいて、いくつかの用途でJSON Web Signature(JWS)を利用してきました。 その経験を通して得られた知見から、JWSの署名生成/検証時に利用する鍵の管理を中心とした利用方針と実装例を紹介します。 JWSとは JWSの仕様 JSON Web Token 周りは仕様がたくさんあることで有名です。 JWSについてはこの辺りを見る必要があるかと思います。 RFC7515 JSON Web Signature (JWS) 日本語訳 : 署名まわり RFC7517 JSON Web Key (JWK) 日本

RFC7049 CBORによるオブジェクトのバイナリ表現 概要 この投稿はCBOR Web Token(CWT)入門3部作の第1弾です。 CWTとは みんな大好き JWT(JSON Web Token) のバイナリ版 JSON + Base64な日常にピリリと辛い刺激を与える、IoT時代注目の一品 今話題のWebAuthn(WebAuthentication API)でも使われている(追記) という感じです。 詳細な説明は後ほどの投稿で行うとして、ここではJWTにおけるJSONに相当する、CBORというオブジェクト表現についてざっくりと紹介します。 CBORとは The Concise Binary Object Representation (CBOR) is a data format whose design goals include the possibility of extr

OpenID ConnectではRSA関連アルゴリズムで生成された署名検証のために、OPは以下の2つの方法で公開鍵を提示する。 PEM形式のX.509証明書を提供 JSON Web Key(JWK)形式でmodulusとexponentの値を提供 今回はRP側が(2)の形式で与えられた情報から署名検証のための公開鍵を取得するまでの手順をまとめる。 必要なモジュール Crypt::OpenSSL::RSA Crypt::OpenSSL::Bignum MIME::Base64 手順 次のような形式でModulusとExponentを取得する。 {"keys": [ { "kty":"RSA", "n": "0vx7agoebGcQSuuPiLJXZptN9nndrQmbXEps2aiAFbWhM78LhWx 4cbbfAAtVT86zwu1RK7aPFFxuhDR1L6tSoc_BJECPe

BaasBoxと同様に、オープンソースのmBaaSであるApache Usergridについて起動させてログインするまでの手順を試した。 こいつはランチャーでGUIを使うので、Vagrant環境でさくっとできるCLI環境ではなく普通のVM環境で試すと良さそう。 ダウンロード&起動 http://usergrid.incubator.apache.org/docs/getting-up-and-running-locally/ のとおり進める。 準備としてJDK 1.7とmavenが必要とあるが、別件でJDKは入れているので省略。 Ubuntuなのでmavenはとりあえずこんな感じで入れた。 $ sudo apt-get install maven $ mvn -v Apache Maven 3.0.4 Maven home: /usr/share/maven Java version: 1