『#OAuth & #OIDC 勉強会（#FAPI & #CIBA 特集）』ツイートまとめ

Tatsuo Kudo @tkudos

本日です。よろしくおねがいします OAuth & OIDC 勉強会（FAPI & CIBA 特集!） authlete.connpass.com/event/111649/

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

本日開催の #Authlete 社主催『#OAuth & #OIDC 勉強会（#FAPI & #CIBA 特集）』の時間は 100 分しかないのに、発表資料が昨日の時点で 140 ページに到達！ 果たして工藤さんは話したいこを制限時間以内に全て話すことができるのか？！ 乞うご期待！ （違 twitter.com/tkudos/status/…

MIZUMOTO, Akinori @letticia

OAuth & OIDC 勉強会（FAPI & CIBA 特集!） authlete.connpass.com/event/111649/ #authlete

Authlete @authlete_jp

受付、開始いたしました！ #authlete #fapi #ciba

Tatsuo Kudo @tkudos

開場しております #authlete pic.twitter.com/FwsAkFiYrL

拡大

kazuki229 @kazuki229_dev

予想通り繰り上がりまくったので参加します authlete.connpass.com/event/111649/

sawadashota @xioota

きました #authlete

Tatsuo Kudo @tkudos

まあ、ユーザー認証のデモって、たいがい地味だよね（CIBA の live demo への伏線） #authlete

Tatsuo Kudo @tkudos

人増えてきた #authlete pic.twitter.com/cAWFkHkZ2g

拡大

hommah @hommah01

参加しますー。 OAuth & OIDC 勉強会（FAPI & CIBA 特集!） authlete.connpass.com/event/111649/ #authlete

Authlete @authlete_jp

@_nat @tkudos つ　authlete.connpass.com/event/111649/

Nat Sakimura/崎村夏彦 @_nat

@tkudos これか。 authlete.connpass.com/event/111649/ 今日の夜、FAPI WG が無ければ行くのだが…。これからWGの準備。

Yoshiaki Itakura @ita_3y

少し遅れたけど来ました！ #authlete

monors @ChibaShum

参加します。 #authlete

ken\d\x @ken5scal

やったー、security profileの経緯が聞けるよー！#authlete

ken\d\x @ken5scal

昨日リリースされたGMOあおぞら銀行の公開APIはFAPI準拠なんですかね？#authlete

ken\d\x @ken5scal

#authlete 一番のポイントはトークンEPではconfidentialクライアントの認証を義務付けてること

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

FAPI Part 1 では、クライアント認証は次のどちらか。 1. OIDC Core, 9. に挙げられている client_secret_jwt / private_key_jwt openid.net/specs/openid-c… 2. MTLS, 2. Mutual TLS for OAuth Client Authentication datatracker.ietf.org/doc/draft-ietf… Basic 認証は不可。 #FAPI & #CIBA 特集 #Authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

PKI 証明書を用いた MTLS クライアント認証（tls_client_auth）では、証明書の主体者識別子（Subject Distinguished Name）が事前に登録されたものと一致するか確認される。主体者識別子を表すクライアントのメタデータは tls_client_auth_subject_dn。 #FAPI & #CIBA 特集 #Authlete

sawadashota @xioota

FAPI、Redirect URIのshemeはhttpsのみって、PKCEを認めないってことなのかな？Android 6.0以下は...? #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

@xioota リダイレクト URI が https であることと、PKCE は別物ですね。PKCE は、要約すると次の通りです。 1. 認可リクエストに code_challenge, code_challenge_method を追加 2. トークンリクエストに code_verifier を追加 これらはリダイレクト URI とは無関係です。 #FAPI & #CIBA 特集 #Authlete

sawadashota @xioota

@darutk そうなんですね！ 完全にご認識していましたmm

██████████████████████ @motchang

OpenID connect のようで OpenID connect ではないものなのか #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

@motchang FAPI は OpenID Connect を基盤として利用しています。そのため、OpenID Connect の拡張と言えます。よりセキュアにするため、制限をかけたり、要求事項を追加したりしています。 例：署名アルゴリズムを PS256 と ES256 のみに限定する。 #FAPI & #CIBA 特集 #Authlete

YU @yu_rano

redirect_uri、完全一致にしないといけないのはその通りなんだけど、いったん前方一致で公開してると、完全一致にするのしんどいんだよな〜・・・ #authlete