SECCON Beginners Live 2023「JWTã‚»ã‚ュリティ入門ã€ã®ç™ºè¡¨è³‡æ–™ã§ã™ã€‚
JWTã‚»ã‚ュリティ入門
SECCON Beginners Live 2023「JWTã‚»ã‚ュリティ入門ã€ã®ç™ºè¡¨è³‡æ–™ã§ã™ã€‚
OAuth 2.0 / OIDC ã‚’ç†è§£ã™ã‚‹ä¸Šã§é‡è¦ãª3ã¤ã®æŠ€è¡“仕様
2020å¹´3月17æ—¥ã€æ ªå¼ä¼šç¤¾AuthleteãŒä¸»å‚¬ã™ã‚‹ã€ŒOAuth & OIDC 勉強会 リターンズã€å…¥é–€ç·¨ã€‘ã€ãŒé–‹å‚¬ã€‚åŒç¤¾ã®å…±åŒå‰µæ¥è€…ã§ã‚ã‚Šã€ãƒ—ãƒã‚°ãƒ©ãƒžãƒ¼å…¼ä»£è¡¨å–ç· å½¹ã§ã‚‚ã‚ã‚‹å·å´Žè²´å½¦æ°ãŒã€OAuth 2.0 / OIDCã®ä»•æ§˜ã«ã¤ã„ã¦è§£èª¬ã—ã¾ã—ãŸã€‚ 冒é ã¯ã€OAuth 2.0ã®æ¦‚念やèªå¯ãƒ»èªè¨¼ã¾ã§ã®æµã‚Œã¨ã€ãれをç†è§£ã™ã‚‹ä¸Šã§é¿ã‘ã¦ã¯é€šã‚Œãªã„3ã¤ã®æŠ€è¡“仕様(JWS・JWE・JWT)ã«ã¤ã„ã¦ã®è§£èª¬ã§ã™ã€‚ OAuth 2.0ã¨ã¯ å·å´Žè²´å½¦æ°ï¼šæ ªå¼ä¼šç¤¾Authleteã®å·å´Žã§ã™ã€‚本日ã¯ã€ŒOAuthã¨OpenID Connectã®å…¥é–€ç·¨ã€ã¨ã„ã†ã“ã¨ã§ã‚ªãƒ³ãƒ©ã‚¤ãƒ³å‹‰å¼·ä¼šã‚’開催ã—ã¾ã™ã®ã§ã€ã‚ˆã‚ã—ããŠé¡˜ã„ã—ã¾ã™ã€‚最åˆã«OAuth 2.0ã®æ¦‚è¦ã®èª¬æ˜Žã‹ã‚‰ã§ã™ã€‚ ブãƒã‚°ã«æ›¸ã„ã¦ã‚る内容ã¨ä¸€ç·’ãªã‚“ã§ã™ãŒã€ã¾ãšãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‡ãƒ¼ã‚¿ãŒã‚ã‚Šã¾ã™ã€‚ã“ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‡ãƒ¼ã‚¿ã‚’管ç†ã™ã‚‹ã®ãŒã€ãƒªã‚½ãƒ¼ã‚¹ã‚µãƒ¼ãƒãƒ¼ã§ã™ã€‚ã“ã®ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ãƒ‡
JWT+RDBを用ã„ãŸOAuth 2.0 ãƒã‚¤ãƒ–リッド型トークンã®å®Ÿè£…例 - r-weblife
ãŠã¯ã‚ˆã†ã”ã–ã„ã¾ã™ã€ritouã§ã™ã€‚ (âš ï¸èªå¯ã‚¤ãƒ™ãƒ³ãƒˆã®è˜åˆ¥åã®ã‚ãŸã‚Šã€ã¡ã‚‡ã£ã¨è¦‹ç›´ã—ã¾ã—ãŸï¼æœ€åˆã«è¦‹ã¦ã„ãŸã ã„ãŸæ–¹ã¯ã‚‚ã†ä¸€å›žã©ã†ãžï¼) å‰å›žã€ãƒã‚¤ãƒ–リッド型ã¨å‘¼ã°ã‚Œã‚‹ OAuth 2.0 ã®ãƒˆãƒ¼ã‚¯ãƒ³å®Ÿè£…ã«ã¤ã„ã¦æ›¸ãã¾ã—ãŸã€‚ ritou.hatenablog.com ãã®ç¶šãã¨ã—㦠JWT(JWS) + RDBã§ã§ãる実装例を紹介ã—ã¾ã™ã€‚ ç†è§£ã™ã‚‹ã«ã¯ãã‚Œãªã‚Šã® OAuth 2.0 ã«é–¢ã™ã‚‹çŸ¥è˜ãŒå¿…è¦ã«ãªã‚‹ã‹ã‚‚ã—ã‚Œã¾ã›ã‚“ãŒã€ã‚ˆã‹ã£ãŸã‚‰å‚考ã«ã—ã¦ã¿ã¦ãã ã•ã„。 何を考ãˆãŸã®ã‹ OAuth 2.0ã®Refresh Token, Access Tokenを考ãˆã¾ã™ã€‚ è¦ä»¶ã‹ã‚‰æ•´ç†ã—ã¾ã—ょã†ã€‚ è¦ä»¶ çµæ§‹ã‚ã‚Šã¾ã™ãŒã€æœ€ä½Žé™ã® OAuth 2.0 ã® Authorization Server を実装ã—よã†ã¨æ€ã£ãŸã‚‰ã“ã‚Œãらã„ã¯ã‚„らãªã„ã¨ã„ã‘ãªã„ã§ã—ょã†ã€‚ RFC6750 ã§å®šç¾©ã•ã‚Œã¦ã„ã‚‹ Bear
OAuth 2.0 ã®å‹‰å¼·ã®ãŸã‚ã«èªå¯ã‚µãƒ¼ãƒãƒ¼ã‚’自作ã™ã‚‹ - Qiita
逆ã«ã€RFC 6749 以外ã§å®šç¾©ã•ã‚Œã¦ã„ã‚‹èªå¯ãƒ•ãƒãƒ¼ã‚’サãƒãƒ¼ãƒˆã™ã‚‹å ´åˆã€æ–°ãŸã«åˆ¥ã®ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆã®å®Ÿè£…ãŒå¿…è¦ã«ãªã‚‹ã“ã¨ãŒã‚ã‚Šã¾ã™ã€‚例ãˆã° CIBA(Client Initiated Backchannel Authentication)ã§ã¯**ãƒãƒƒã‚¯ãƒãƒ£ãƒãƒ«èªè¨¼ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆï¼ˆbackchannel authentication endpoint)ã€ãƒ‡ãƒã‚¤ã‚¹ãƒ•ãƒãƒ¼ï¼ˆRFC 8628)ã§ã¯ãƒ‡ãƒã‚¤ã‚¹èªå¯ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆ**(device authorization endpoint)ã®å®Ÿè£…ãŒæ±‚ã‚られã¾ã™ã€‚ ã“ã®è¨˜äº‹ã§ã¯ã€èªå¯ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆã¨ãƒˆãƒ¼ã‚¯ãƒ³ã‚¨ãƒ³ãƒ‰ãƒã‚¤ãƒ³ãƒˆã‚’実装ã—ã¾ã™ã€‚サãƒãƒ¼ãƒˆã™ã‚‹èªå¯ãƒ•ãƒãƒ¼ã¯èªå¯ã‚³ãƒ¼ãƒ‰ãƒ•ãƒãƒ¼ã®ã¿ã€ã‚µãƒãƒ¼ãƒˆã™ã‚‹ã‚¯ãƒ©ã‚¤ã‚¢ãƒ³ãƒˆãƒ»ã‚¿ã‚¤ãƒ—ã¯ãƒ‘ブリックã®ã¿ã¨ã—ã¾ã™ã€‚ 2. 注æ„点 下記ã®ç†ç”±ã€ãŠã‚ˆã³æ›¸ã‹ã‚Œã¦ã„ãªã„ãã®ä»–ã®ç†ç”±ã«ã‚ˆã‚Šã€æœ¬å®Ÿè£…ã¯å•†ç”¨åˆ©ç”¨ã«ã¯é©ã—ã¦ã„ã¾ã›ã‚“。 ã‚»ã‚ュリティ
OAuth 2.0 + OpenID Connect ã®ãƒ•ãƒ«ã‚¹ã‚¯ãƒ©ãƒƒãƒå®Ÿè£…者ãŒçŸ¥è¦‹ã‚’語る
èªè¨¼ã¯å˜ç´”ãªæ¦‚念ã§ã€åˆ¥ã®è¨€è‘‰ã§è¨€ãˆã°æœ¬äººç¢ºèªã§ã™ã€‚Web サイトã«ãŠã‘る本人確èªã®æœ€ã‚‚一般的ãªæ–¹æ³•ã¯ ID ã¨ãƒ‘スワードã®çµ„ã‚’æ示ã—ã¦ã‚‚らã†ã“ã¨ã§ã™ãŒã€æŒ‡ç´‹ã‚„虹彩ãªã©ã®ç”Ÿä½“æƒ…å ±ã‚’ç”¨ã„ãŸæœ¬äººç¢ºèªæ–¹æ³•ã‚‚ã‚ã‚Šãˆã¾ã™ã€‚ã©ã®ã‚ˆã†ãªç¢ºèªæ–¹æ³•ã ã¨ã—ã¦ã‚‚ (ワンタイムパスワードを使ã£ãŸã‚Šã€2-way èªè¨¼ã ã£ãŸã‚Šã—ã¦ã‚‚)ã€èªè¨¼ã¨ã¯ã€èª°ãªã®ã‹ã‚’特定ã™ã‚‹ãŸã‚ã®å‡¦ç†ã§ã™ã€‚開発者ã®è¨€è‘‰ã§ã“れを表ç¾ã™ã‚‹ã¨ã€ã€Œèªè¨¼ã¨ã¯ã€ãƒ¦ãƒ¼ã‚¶ãƒ¼ã®ä¸€æ„è˜åˆ¥åを特定ã™ã‚‹å‡¦ç†ã€ã¨è¨€ãˆã¾ã™ã€‚ 一方ã€èªå¯ã®ã»ã†ã¯ã€ã€Œèª°ãŒã€ã€ã€Œèª°ã«ã€ã€ã€Œä½•ã®æ¨©é™ã‚’ã€ã€ã¨ã„ã†ä¸‰ã¤ã®è¦ç´ ãŒå‡ºã¦ãã‚‹ãŸã‚ã€è¤‡é›‘ã«ãªã‚Šã¾ã™ã€‚åŠ ãˆã¦ã€è©±ã‚’ã‚„ã‚„ã“ã—ãã—ã¦ã„ã‚‹ã®ã¯ã€ã“ã®ä¸‰ã¤ã®è¦ç´ ã®ã†ã¡ã€ã€Œèª°ãŒã€ã‚’決ã‚る処ç†ãŒã€Œèªè¨¼å‡¦ç†ã€ã§ã‚ã‚‹ã¨ã„ã†ç‚¹ã§ã™ã€‚ã™ãªã‚ã¡ã€èªå¯å‡¦ç†ã«ã¯ãã®ä¸€éƒ¨ã¨ã—ã¦èªè¨¼å‡¦ç†ãŒå«ã¾ã‚Œã¦ã„ã‚‹ãŸã‚ã€è©±ãŒã‚„ã‚„ã“ã—ããªã£ã¦ã„ã‚‹ã®ã§ã™ã€‚ èªå¯ã®ä¸‰è¦ç´ ã‚’ã‚‚ã†å°‘ã—ç¾å ´ã«è¿‘ã„言葉ã§è¡¨
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠- ã¯ã¦ãªã®å‘ŠçŸ¥
ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®çµ‚了日を2020å¹´1月31æ—¥(金)ã«æ±ºå®šã—ã¾ã—㟠以下ã®ã‚¨ãƒ³ãƒˆãƒªã®é€šã‚Šã€ä»Šå¹´æœ«ã‚’目処ã«ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—を終了予定ã§ã‚る旨をãŠçŸ¥ã‚‰ã›ã—ã¦ãŠã‚Šã¾ã—ãŸã€‚ 2019年末を目処ã«ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®æ供を終了ã™ã‚‹äºˆå®šã§ã™ - ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã“ã®ãŸã³ã€æ£å¼ã«çµ‚了日を決定ã„ãŸã—ã¾ã—ãŸã®ã§ã€ä»¥ä¸‹ã®é€šã‚Šã”確èªãã ã•ã„。 終了日: 2020å¹´1月31æ—¥(金) エクスãƒãƒ¼ãƒˆå¸Œæœ›ç”³è«‹æœŸé™:2020å¹´1月31æ—¥(金) 終了日以é™ã¯ã€ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã®é–²è¦§ãŠã‚ˆã³æŠ•ç¨¿ã¯è¡Œãˆã¾ã›ã‚“。日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãŒå¿…è¦ãªæ–¹ã¯ä»¥ä¸‹ã®è¨˜äº‹ã«ã—ãŸãŒã£ã¦æ‰‹ç¶šãã‚’ã—ã¦ãã ã•ã„。 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—ã«æŠ•ç¨¿ã•ã‚ŒãŸæ—¥è¨˜ãƒ‡ãƒ¼ã‚¿ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆã«ã¤ã„㦠- ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記 ã”利用ã®ã¿ãªã•ã¾ã«ã¯ã”迷惑をãŠã‹ã‘ã„ãŸã—ã¾ã™ãŒã€ã©ã†ãžã‚ˆã‚ã—ããŠé¡˜ã„ã„ãŸã—ã¾ã™ã€‚ 2020-06-25 追記 ã¯ã¦ãªã‚°ãƒ«ãƒ¼ãƒ—日記ã®ã‚¨ã‚¯ã‚¹ãƒãƒ¼ãƒˆãƒ‡ãƒ¼ã‚¿ã¯2020å¹´2月28
1
リリースã€éšœå®³æƒ…å ±ãªã©ã®ã‚µãƒ¼ãƒ“スã®ãŠçŸ¥ã‚‰ã›
最新ã®äººæ°—エントリーã®é…ä¿¡
j次ã®ãƒ–ックマーク
kå‰ã®ãƒ–ックマーク
lã‚ã¨ã§èªã‚€
eコメント一覧を開ã
oページを開ã
{{#tags}}- {{label}}
{{/tags}}