はてなブックマーク

概要 OAuth 2.0 Step-up Authentication Challenge Protocol は_「リクエストのアクセストークンに紐付く認証イベントが認証要求事項を満たさないこと及びその満たし方をリソースサーバーがクライアントに伝える仕組みを導入します。」_ (“introduces a mechanism for a resource server to signal to a client that the authentication event associated with the access token of the current request doesn’t meet its authentication requirements and specify how to meet them.” 「Abstract」より抜粋) まず初めに、クライアントアプリ

このビデオについて このビデオは、2021 年 11 月 17 日に開催された勉強会「OAuth 2.0 と OpenID Connect の細かい話: Authlete ナレッジベースから覗くプロファイリングの深淵」のプレゼンテーション録画です。 OAuth 2.0 / OpenID Connect (OIDC) をサービスに適用する際、必要となるのが「プロファイリング（詳細仕様化）」です。フレームワークである OAuth 2.0 はもちろん、その上に作られた OIDC であっても、仕様がスコープ外とする箇所や、仕様が示す複数の選択肢からどれを使うかは、サービスやビジネスの特性に応じて決めなくてはなりません。たとえば: クライアントからのトークンリフレッシュ要求に対して認可サーバーが返却する、リフレッシュトークン (RT) の有効期限はどうする? リソースオーナーの同意の下にクライアント

はじめに "Amazon Cognito user pools implements ID, access, and refresh tokens as defined by the OpenID Connect (OIDC) open standard" (Amazon Cognito は OpenID Connect (OIDC) オープン標準で定められている通りに ID トークン、アクセストークン、レフレッシュトークンを実装しています) — “Using Tokens with UserPools” より抜粋 しかしながら、Cognito の OIDC 実装は非常に限定的で柔軟性もないため、Cognito の OIDC 実装がシステム要件を満たせないということはよくあります。例えば、Cognito が発行する ID トークンの署名アルゴリズムは RS256 ですが、セキュリティ上の理

このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証・認可フローのしくみ」と題し、Authlete 代表の川崎貴彦が寄稿しました。 本プレゼンテーションでは記事のポイントや、理解を深めるために重要なポイントについて、著者の川崎がお話しします。 文字起こし はじめに 目次 記事の第1章、第2章、第3章は、こういう目次になっています。 ここからピックアップして、 こんなことを話してます、というところを、 紹介したいと思います。 自己紹介 Au

OAuth 2.0 / OpenID Connect (OIDC) は、API 提供のためのアクセス認可に欠かせないオープン標準ですが、 API アクセス認可に関わる数多くの仕様に準拠した認可サーバーの構築には標準仕様に関する深い理解が必要になり、多くのサービス事業者にとって容易ではありません。 これらの問題を解決するために、Authlete は、Web API のセキュリティには欠かせない OAuth/OIDC サーバーを実装するために必要な機能を、すべて Web API として提供しています。認可サーバーに関する複雑な処理を Authlete に任せることで、簡単にかつセキュアな認可サーバーを構築することが可能になります。 このビデオでは、AWS の Amazon EC2 上への認可サーバー（java-oauth-server）の構築と、 Amazon API Gateway + AW

このビデオについて このビデオは、2020 年 1 月 31 日に開催した弊社勉強会のプレゼンテーション録画のパート 2 です。 策定が進む OAuth 2.0 Security Best Current Practice に関連する、周辺仕様の概要について、 Authlete の工藤達雄が紹介します。 文字起こし（ログを元に再構成） OAuth 2.0 Security BCP の概要 工藤: まずひとつ目が、ベストカレントプラクティス、セキュリティBCP です。 もともと "OAuth 2.0" (RFC 6749)、"Bearer Token Usage" (RFC 6750)、"Threat Model" (RFC 6819) という RFC があって、 この中に Security Considerations が、書いてはあるんですね。 ただ 2012 年、もうちょっというとその

はじめに このチュートリアルでは、『証明書に紐付いたアクセストークン』を活用して Amazon API Gateway 上に構築した API をこれまで以上に安全に保護する方法を紹介します。 OAuth アクセストークンが一度漏洩すると、攻撃者はそのアクセストークンをもって API にアクセスできます。従来のアクセストークンは電車の切符のようなもので、一度盗まれたら誰でも使えてしまいます。 この脆弱性はアクセストークンと同時にアクセストークンの正当な保有者である証拠も併せて提示することを API 呼出者に要求することで軽減することができます。その証拠は proof of possession と呼ばれ、よく PoP と短縮されます。使用時に PoP を必要とするアクセストークンは、搭乗時にパスポートの提示も併せて要求される国際線の航空券に似ています。 RFC 8705 (OAuth 2.0

OAuth 2.0 (RFC 6749) が定義するグラントフローのアニメーションです。各フローがどのように動作するかを、順を追って説明しています。 主要な 3 種類のグラントフロー 認可コードグラントフロー Watch on YouTube 最も広く使われているグラントフローです。 リソースオーナー（エンドユーザー）の同意に基づいて認可サーバーから発行された「認可コード」を用いて、クライアントは認可サーバーからアクセストークンを取得します。 リフレッシュトークングラントフロー Watch on YouTube 発行されたアクセストークン（およびリフレッシュトークン）の更新（リフレッシュ）を行うためのグラントフローです。 クライアントは、別のグラントフローの実行結果として取得済みの「リフレッシュトークン」を用いて、認可サーバーからアクセストークン（およびリフレッシュトークン）を取得します。

OAuth & OIDC 勉強会 【入門編】 【アクセストークン編】 【認可リクエスト編】の続編です。 クライアントが認可サーバーにリクエストを行う際の「クライアント認証」における関連仕様とその実装について、OAuth 2.0 & OpenID Connect をフルスクラッチ実装したエンジニア（株式会社 Authlete 代表）が解説します。 #1 前提知識・クライアントタイプ Watch on YouTube 前提知識 クライアントタイプ #2 直接送信系クライアント認証 Watch on YouTube client_secret_post client_secret_basic #3 JWT 系クライアント認証 Watch on YouTube クライアントアサーション client_secret_jwt private_key_jwt #4 X.509 証明書 (1) Watch

OAuth 2.0 および OpenID Connect (OIDC) は、関連技術を含め、数多くの仕様から構成されています。API アクセス認可やデジタルアイデンティティを専門としない方にとっては、OAuth 2.0 / OIDC 仕様をどこからどのように理解し、これらの仕様に準拠したサーバーをどのように実装すれば良いのか、難しさを感じることも少なくないかと思います。 そこで今回は、一昨年実施し好評を博した、OAuth 2.0 ＆ OpenID Connect をフルスクラッチ実装したエンジニア（株式会社 Authlete 代表）による解説を中心とした勉強会を再開催いたします。また最近の仕様策定の動向についても、アップデートをお伝えいたします。 OAuth 2.0 と OpenID Connect の概要 JWS/JWE/JWT、ID トークン OAuth 2.0 と OpenID Co

2012 年に OAuth 2.0 (RFC 6749 / 6750)、2014 年に OIDC 1.0、そして 2015 年に PKCE (RFC 7636) / JWT (RFC 7519) がそれぞれ標準仕様となり、いまでは多方面に活用されるようになりました。一方で 2015 年以降も、さまざまな OAuth 2.0 拡張仕様が登場し、さらに OAuth 2.0 / OIDC 適用のプラクティスも改良されています。 もしかしたら、数年前には標準が存在せず独自拡張を試みるしかなかったユースケースに、いままさに策定中の仕様が活用できるかもしれません。あるいは、以前は最良であると考えられていた OAuth 2.0 適用の定石も、いまでは時代遅れになっているかもしれません。 今回の勉強会では、主に「ポスト PKCE / JWT（2015 年以降）」を中心に、Authlete 社の独断と偏見に

セブン＆アイは、国内随一の会員共通基盤である「７ｉＤ」を軸にした ID 連携を実現するために、 OpenID Connect を採用するとともに、その実装に Authlete を活用しています。

1. Introduction RFC 7636 : Proof Key for Code Exchange (PKCE, pronounced “pixy”) is a specification about a countermeasure against the authorization code interception attack. The specification was released on September, 2015. It has added: code_challenge parameter and code_challenge_method parameter to authorization requests using the authorization code flow, and code_verifier parameter to token r