OAuth認証再考からのOpenID Connect #devlove

1. OAuth認証再考からの OpenID Connect @nov

2. Nov Matake OpenID Foundation Japan Evangelist 初号機 OAuth.jp Idcon Rubyist fb_graph, rack-oauth2, openid_connect etc.

3. 「○○ ID でログイン」

4. ユーザー登録めんどくさい

5. 複数サイトで共通のパスワード

6. 「○○ ID でログイン」

7. OpenID / OAuth

8. http://janrain.com/blog/social-login-trends-across-the-web-for-q3-2013/

9. OAuth 認証 … って言うな …

10. 定義: OAuth 認証外部サービスが提供する OAuth 1.0/2.0 ベースの “Proprietary” な Proﬁle API を使ってユーザー認証を行うこと。

11. Proprietary

12. GET /me のところを差し替えると他の ID Provider も使える

13. THE

14. OAuth 認証の落とし穴

15. GET /me User Info :

16. Weak Point GET /me User Info :

17. Weak Point Token Replace GET /me User Info :

18. Weak Point Token Replace GET /me Diﬀerent User Data User Info :

19. 4者目がいる時は注意 !! GET /me User Info :

20. 見ず知らずの他アプリ向けの Tokenを受けいれてはならない

21. GET /me User Info Another Proprietary GET /app App ID

22. 4 API Request 毎ログインごとに GET /oauth/authorize POST /oauth/token GET /app GET /me

23. ♥ OpenID Connect OAuth 2.0 + Standardised Identity Layer #MA7 Mashup Caravan & Meetup in Kyoto

24. ID Token User Info API

25. ID Token 認証イベントのアサーション (JSON Web Token) iss – Issuer sub – Subject, End-user Identiﬁer aud – Audience, Client ID iat - issued at exp - expiry

26. 誰が (issuer = IdP) 誰を (subject = end-user) 誰のために (audience = client) 認証したのか

27. ID Token Veriﬁcation Verify Signature (RSA-SHA256 etc.) Verify Claims iss => Expected IdP ? aud => Own Client ID ? iat => Within X mins ? exp => Future ? Get “sub”

28. ID Token User Info API

29. ID Token ID Token さえあれば認証可能 User Info API

30. UserInfo API OAuth 2.0 対応の API Endpoint レスポンスフォーマット標準化 ID 連携に必要なプロフィールデータは割と似てる User ID, 氏名, ニックネーム, 生年月日, 住所 etc. 登録時だけ利用 ?

31. Discovery & Dynamic Registration

32. User Centric means Dynamic

33. developers.facebook.com でアプリ登録 client_id & client_secret をアプリに埋め込む必要な API Endpoint とレスポンスフォーマットも API Document 読んで把握

34. developers.facebook.com でアプリ登録 client_id & client_secret をアプリに埋め込む全部自動化必要な API Endpoint とレスポンスフォーマットも API Document 読んで把握

35. Discovery WebFinger (RFC 7033) GET /.well-known/webfinger?resource=*** OpenID Connect をサポートしてるかどうか OP Config GET /.well-known/openid-configuration OpenID Connect の各 endpoint 等

36. Dynamic Registration Client Registration Endpoint (Discoverable) Standardised Client Metadata redirect_uris, response_types, grant_types, application_type, client_name, logo_uri etc.

37. Harder Things? slideshare.net/nat_sakimura/open-idspeciﬁcationsworkupdatetokyo2011

38. twitter.com/nov slideshare.net/matake github.com/nov openid-foundation-japan.github.com

OAuth認証再考からのOpenID Connect #devlove

You are reading a preview.

OAuth認証再考からのOpenID Connect #devlove

More Related Content

Viewers also liked

Similar to OAuth認証再考からのOpenID Connect #devlove

More from Nov Matake

Featured

Related Books

Related Audiobooks