はてなブックマーク

背景 2要素認証を有効にした状態でログインするとき、ワンタイムパスワード（6桁の数字）の入力を求められることがあるかと思います。 これはどうやって実装しているんだろうと気になったので、仕様を読んで実装してみました。 今回実装したのは、 TOTP(Time-Based One-Time Password) と呼ばれるもので、 Google Authenticator などのアプリを入れると、簡単にワンタイムパスワードを生成できます。 コード 本記事のコードはこちらに記載しています。 Docker を起動して、一連の流れを試すこともできます。 仕様 TOTP TOTP は RFC6238 で、以下のように定義されています。 HOTP(HMAC-Based One-Time Password) に関しては後述します。 TOTP = HOTP(K, T) T = (Current Unix tim

認証、認可に関わるためセンシティブな内容になるかと思いますので、不備などがございましたらご指摘いただけますと幸いです 内容 OAuth2.0のパラメータを理解するには、自分で攻撃してみるのが一番良いと思い、ローカル環境で攻撃できるよう、Docker環境をつくってみました。本記事では、以下の3つのパラメータの役割を学ぶことができます。 state CSRF保護対策に使用する。 code アクセストークンとの引換券のようなもの 使用回数は1回のみ 有効期限は短くする必要がある redirect_uri リダイレクトURIは複数登録する場合や、事前登録しない場合などがあるため、認可リクエスト時に必要 不正に取得した認可コードによる攻撃を防ぐため、トークンリクエスト時にも必要 認可コードグラント 事前知識として、認可コードグラントがどういうフローかを示しておきます。認可コードグラントの詳細に関して