2014/02/13 デブサミ2014【13-C-5】これからのネイティブアプリにおけるOpenID Connectの活用 #devsumiC
#devsumi [デブサミ2014]ハッシュタグのお知らせ ■全体 #devsumi ■セッション:部屋別ハッシュダグになります A会場:#devsumiA /B会場:#devsumiB / C会場:#devsumiC... http://t.co/NpAvIVR6AO
2014-02-10 20:00:50#devsumi いよいよ明日は、デブサミ2014です。開演間際になりますと大変混み合いますので、混雑緩和のため、9:30来場を目指して頂けると助かります!ご来場お待ちしております!!... http://t.co/UxAf0eQ9Yu
2014-02-12 19:38:21#devsumiC 「これからのネイティブアプリにおけるOpenID Connectの活用」はじまりました http://t.co/5xE4dMvxnE
2014-02-13 15:18:43FBデベロッパーサイトにあるlyftもFBログインを使っている 他にも4sq、GunosyもFBログインを活用 #devsumiC
2014-02-13 15:21:50Implicit Flow の話し。ここでいうYour Appというのはネイティブアプリのことじゃないのかな #devsumiC
2014-02-13 15:22:23OAuth 2.0 Implicit flow fronpage → OAuth Dialog → ユーザーの承認 → access token → custom URL → /me?access_token=... → ユーザーデータ #devsumiC
2014-02-13 15:23:18#devsumiC FBでのログイン、OAuth2 Implicit フロー使われる。<== でもだいたいSDK使うよねえ
2014-02-13 15:23:22ID Token: ピリオドで区切られ、Base64でエンコードされた文字列。JSONObject(ヘッダー部、ペイロード部)、署名という構成。#devsumiC
2014-02-13 15:26:57アプリからバックエンドサーバーにトークンを送る -- バックエンドサーバーが /me をたたく -- アプリのふりをして別のトークンをバックエンドに送る者がいると、他人の権限でアプリが使えてしまう #devsumiC
2014-02-13 15:27:15audience restrictionをちゃんとしていないと攻撃が成立してしまう -- id_tokenを使えばいい #devsumiC
2014-02-13 15:27:32id_token: JWT(JSON Web Token、ジョット) -- 「.」で区切られた3つの部分。それぞれbase64urlエンコードされたJSON -- ヘッダー部、ペイロード部、署名部 #devsumiC
2014-02-13 15:27:55id_tokenでわかること -- issuer(iss)がaudience(aud)のためにsubject(sub)を認証する #devsumiC
2014-02-13 15:29:15リプレイアタックを防ぐためにid_tokenにはnonceが入っている -- nonce: リクエストごとにユニークな文字列。同じ値が2回来たらリプレイされたことがわかる #devsumiC
2014-02-13 15:30:00audienceがちゃんと自分であることを確認すれば置きかえ攻撃されたことがわかる → チェックして拒否 #devsumiC
2014-02-13 15:31:46トークン置き換え攻撃、リプレイアタックという脆弱性を狙った攻撃を知っているってどれくらいいるのだろう? #devsumiC
2014-02-13 15:32:14