10周年のSPコンテンツ!
0
NOMURA Kentaro @nomnux
OpenID MeetUp in Fukuoka に来たよ! #openid #fukuoka
Naohiro Fujie @phr_eidentity
マネーフォワードへのFacebookログインを例にOAuthの解説 #openid #fukuoka
Naohiro Fujie @phr_eidentity
ネイティブアプリがあるケース。 - ネイティブアプリとバックエンドの間のOAuth - バックエンドとFacebookとの間のOAuth の2段階構成で動く #openid #fukuoka
Naohiro Fujie @phr_eidentity
本来のOAuthの用途は「~IDでログイン」よりも「~API連携」が正しい #openid #fukuoka
はましょー@福岡YouTuber @sage_of_crypto
OAuth2.0はサードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである #openid
NOMURA Kentaro @nomnux
これは OAuth 2.0 Token のわかりやすい解説。 * Bearer Token: 列車の切符(無記名のもの。他の人が使おうと思えば使える) * 非 Bearer Token: 飛行機のチケット(記名されていてその人しか使えない) #openid #fukuoka
NOMURA Kentaro @nomnux
OAuth 2.0 の response_type は code のみにするという流れになりつつある(token は非推奨)。シラナカッタヨ。 #openid #fukuoka
Naohiro Fujie @phr_eidentity
OpenID ConnectはOAuth2.0の「~IDでログイン」を標準化する拡張 #openid #fukuoka
Naohiro Fujie @phr_eidentity
OpenID Connectの使いどころ 1. OIDCをサポートしているIdPのIDでログイン 2. なんちゃらIDでログインしつつAPIも使いたい 3. 自社サービスで社外・社内向けに認証基盤+APIを提供したい #openid #fukuoka
Naohiro Fujie @phr_eidentity
資産価値が高く、環境制御レベルが低いところ(インターネットバンクなど)に対応するためにプロトコルが頑張らなければならない。ということでFinancial grade APIを作ることとなった。 #openid #fukuoka
Naohiro Fujie @phr_eidentity
金融APIに使うには、以下の前提をクリアする必要がある - 1クライアント1サーバが前提 - メッセージ認証 - 送信者認証 - 受信者認証 - 利用者認証 - メッセージ秘匿性 - トークンフィッシング/リプレイ #openid #fukuoka
Naohiro Fujie @phr_eidentity
パラフレーズ版BCM原則 4つのクライテリア a)ユニークな送信者識別子 b)プロトコル+バージョン+メッセージ識別子 c)全アクター/ロールの一覧 d)メッセージの改竄検知 #openid #fukuoka
Naohiro Fujie @phr_eidentity
Hybrid flowとは。 認可応答に署名をかける方式(Detatched Sigature) IDトークンを認可応答に含めて返す このIDトークンは個人を識別するものではないのでsubなし。 Issuerは入っており、署名が付いているので署名検証が出来る #openid #fukuoka
Naohiro Fujie @phr_eidentity
つづき) hybrid flowではid_tokenに以下が入っている。 c_hash(codeのハッシュ)*codeが搾取されたケースへの対策 s_hash(stateのハッシュ)*csrf対策のstateが搾取されたケースへの対策 #openid #fukuoka
Naohiro Fujie @phr_eidentity
トークン要求により返ってくるid_tokenに同時に取得できるaccess_tokenのハッシュを入れる(at_hash)ことで更にセキュリティレベルを向上できる #openid #fukuoka
Naohiro Fujie @phr_eidentity
OpenID Foundationの仕様策定の方法 1. Working Draft 2. IPR(45日間) -> この間に自社の特許を使っていることを宣言しないと以後は無償で提供されることが確定する 3. Implementer's draft -> 特許が確定しているのでImplementerが導入しても特許侵害が無い #openid #fukuoka
kura @kura_lab
OpenID MeetUpの会場に向かうぜぇ🏃‍♂️💨
nov matake @nov
資料はこちらにアップロードしていきます。 #openid #fukuoka openid.connpass.com/event/121698/
崎村夏彦 (=nat) @_nat
米国の Financial Data Exchange と #OpenID Foundation との間での金融データのグローバルなシェアリング・連携に関する覚書を締結しました。これによって、生活者が自らに関するデータをより制御しやすくすることを目指します。 prnewswire.com/news-releases/…
YAMAMOTO Yuji: 山本悠滋 @igrep
OpenID Connectのnonceに入れる値ってやっぱなるべく安全な乱数にした方がいいのかねぇ。
残りを読む(16)

コメント

コメントがまだありません。感想を最初に伝えてみませんか?

ログインして広告を非表示にする
ログインして広告を非表示にする