Ryo Ito, profile picture
Uploaded byRyo Ito
1,260 views

Introduction of OAuth 2.0 vol.1

Draft Specを読んで OAuth 2.0を理解する その1 (注意!)この内容は古いので、参考になりませんよ。。。

Embed presentation

• 名前 • Ryo Ito (id:ritou) • アカウント • twitter,friendfeed,hatena : ritou • ブログ • r-weblife http://d.hatena.ne.jp/ritou/ • 内容はOpenID/OAuthあたりが多め • 所属 • OpenID OP かつ OAuth SPな会社 • 2010年5月現在、社会人5年目
 2010年5月5日時点で、以下の資料を参考にして OAuth 2.0の仕様を噛み砕いている自分用メモ です。  全てを解説するのは無理なのであとで小分けに ブログで書く予定ですが、話についてこれる方 は参考にしてみてください。  The OAuth 2.0 Protocol draft-hammer- oauth2-00 http://tools.ietf.org/html/draft-hammer-oauth2-00  Facebook Developers Document http://developers.facebook.com/docs/authentication /
 今回見ておくところは以下の2点! › Terminology : 新しい登場人物とかいない? › AuthZ flow : Clientの特性や環境によって想定さ れているAccessToken取得までのフロー
あまり劇的な変更はなさそう  resource server : APIサーバ  protected resource : APIでやりとりされるデータ  client : Consumer(OAuth 1.0a)  resource owner  end user  access token  authorization server : SP(OAuth 1.0a)  authorization endpoint  token endpoint  client identifier  refresh token
 OAuth 1.0aでは、ブラウザアプリ/クライアン トアプリに対するAuthZ flowのみが定義された  OAuth 2.0では、その他のflowも考慮し、 Access Token取得までの流れが定義される › The user delegation authZ flows  ユーザーがClientに権限を委譲 › The end user credentials flow  ユーザーのID/PWを利用 › The autonomous authZ flows  ClientがResource owner
 The user delegation authZ flows › User-Agent Flow : JavaScriptなどでAuthZ › Web Server Flow : Web App Flow(OAuth1.0a) › Device Flow : Client App Flow(OAuth1.0a)
※仕様ドキュメントから抜粋
 JavaScriptなど、User-Agent(ブラウザ)上で処 理が完結されるケースを想定  AuthZ処理後、 AccessTokenなどがURI FragmentとしてClientに渡される  Client側は、 URI Fragmentに含まれるAccess Tokenなどの値を取得するScriptを用意する  Facebookはほぼそのままの仕様で実装済み http://developers.facebook.com/docs/authentication/javascript
※仕様ドキュメントから抜粋
 Clientがサーバ間通信可能なWebサーバで ある状況を想定  Request/Responseの形式はほぼOAuth WRAPのWeb App Profileの仕様と同じ › OAuth 1.0aのRequestTokenのくだりがなくな る
 AuthZ Serverが複数のFlowをサポートする場合、 AuthZ URLは共通でtypeパラメータによりどの Flowによる要求なのかを判断する  immediateパラメータにより、OpenIDの checkid_immediate modeのような、画面を必要 としない処理を要求可能 › ここは別途まとめたいところ  Access TokenにSecretが必要かどうかはClient側 からsecret_typeというパラメータで指定可能...? › typeによってこの場合はSecretつき(Web Server Flow)、 Secret不要(User-Agent Flow)のように最初から決めとい たほうがいいのでは?
※仕様ドキュメントから抜粋
 OAuth1.0aのClient App Flowに近いが微妙に 異なる › ユーザーがAuthZ URLにアクセスし、User Codeを 必ず手動で入力することでユーザー本人の処理を保 証させようとしている  OAuth 1.0時代のあの問題が再発しないか気に なる! › OAuth 1.0aの認可処理後のVerification Code手動 入力はなくなってる › 悪意のあるユーザーが第3者にAuthZ URLにアクセス させ、User Codeを入力させたらアウトなような...
 The end user credentials flow › Username and Password Flow : ID/PW入力パ ターン
※仕様ドキュメントから抜粋  twitterのxAuthのような、ID/PWをリクエス トに含む状況を想定 › ID/PW → Access Tokenを行い、Clientは Access Tokenを保存
 The autonomous authZ flows › Client Credentials Flow : Client ID/Secretを利 用 › Assertion Flow : SAMLのアサーションを利用 !省略!
 その2で残りの仕様を見ていく予定です › Refreshing an Access Token  Refresh Tokenが任意ということはまたY!のOAuth は悪者扱いされるんか... › Accessing a Protected Resource  署名はどうなる? › Identifying a Protected Resource...  ではまた!

More Related Content

PDF
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
PPTX
OAuth認証について
byYoshifumi Sato
 
PDF
Idcon11 implicit demo
byRyo Ito
 
PDF
OAuth 2.0の概要とセキュリティ
byHiroshi Hayakawa
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
LINEログインの最新アップデートとアプリ連携ウォークスルー
byNaohiro Fujie
 
PDF
今更聞けないOAuth2.0
byTakahiro Sato
 
PDF
ID & IT 2013 - OpenID Connect Hands-on
byNov Matake
 
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
OAuth認証について
byYoshifumi Sato
 
Idcon11 implicit demo
byRyo Ito
 
OAuth 2.0の概要とセキュリティ
byHiroshi Hayakawa
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
byNaohiro Fujie
 
今更聞けないOAuth2.0
byTakahiro Sato
 
ID & IT 2013 - OpenID Connect Hands-on
byNov Matake
 

What's hot

PPTX
Windows.Web.Http.HttpClientとWebAuthenticationBroker
byNobuaki Aoki
 
PDF
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
PDF
Sec018 windows hello_in_your_app_!_~_カスタム_
byTech Summit 2016
 
PDF
IDaaSにSign in with Appleをつないでみた
byNaohiro Fujie
 
PDF
OAuth 2.0による認可の流れ
byTakeshi Mikami
 
PPTX
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
PDF
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
PDF
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
PDF
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
byde:code 2017
 
PDF
MicrosoftのDID/VC実装概要
byNaohiro Fujie
 
PDF
シングルサインオンの歴史とSAMLへの道のり
byShinichi Tomita
 
PDF
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
PPTX
OAuth2基礎知識
bysokamo1975
 
PPTX
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
bydstn
 
PDF
How FIDO Works
byKeiko Itakura
 
PDF
100121 Scis2010 Itoh
byHiroki Itoh
 
PDF
Oauth2.0とか(認証と認可)_201403
byShunsuke Mihara
 
PDF
Azure AD x LINE x Auth0
byNaohiro Fujie
 
PPTX
2014-08-30_aspnet-identity
bykumake
 
PPTX
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 
Windows.Web.Http.HttpClientとWebAuthenticationBroker
byNobuaki Aoki
 
SAML / OpenID Connect / OAuth / SCIM 技術解説 - ID&IT 2014 #idit2014
byNov Matake
 
Sec018 windows hello_in_your_app_!_~_カスタム_
byTech Summit 2016
 
IDaaSにSign in with Appleをつないでみた
byNaohiro Fujie
 
OAuth 2.0による認可の流れ
byTakeshi Mikami
 
ID連携のあるとき~、ないとき~ #エンプラ編
byTakashi Yahata
 
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
byTatsuo Kudo
 
OAuth2.0によるWeb APIの保護
byNaohiro Fujie
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
byde:code 2017
 
MicrosoftのDID/VC実装概要
byNaohiro Fujie
 
シングルサインオンの歴史とSAMLへの道のり
byShinichi Tomita
 
FAPI Security について聞いてきた話(2017/08/18 社内勉強会)
byYoko TAMADA
 
OAuth2基礎知識
bysokamo1975
 
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
bydstn
 
How FIDO Works
byKeiko Itakura
 
100121 Scis2010 Itoh
byHiroki Itoh
 
Oauth2.0とか(認証と認可)_201403
byShunsuke Mihara
 
Azure AD x LINE x Auth0
byNaohiro Fujie
 
2014-08-30_aspnet-identity
bykumake
 
Microsoft Identity Technology / Kantara Initiative Seminar 2011
byNaohiro Fujie
 

Viewers also liked

PPT
We Are the Circumcision
byguest4ad903
 
PPT
The Role of 'Law' in your Salvation
byguest4ad903
 
PDF
#idcon 15th ritou 2factor auth
byRyo Ito
 
PDF
Summary of OAuth 2.0 draft 8 memo
byRyo Ito
 
PDF
Anonymous OAuth Test
byRyo Ito
 
PDF
0905xx Hybrid Memo
byRyo Ito
 
PDF
Account Chooser idcon mini Vol.1
byRyo Ito
 
PDF
OID to OIDC idcon mini vol1
byRyo Ito
 
PDF
OpenID-TechNight-11-LT-mixi
byRyo Ito
 
PDF
e-Learning Design for Teacher
bySunami Hokuto
 
PPT
Vrijetijdswebsites En Web 2[1].0
byUitinBrabant.nl
 
PPT
Richtlijnen Schrijven Internetteksten Presentatie1
byUitinBrabant.nl
 
PDF
目的と実践の符号を 〜ホームページ作成を例に〜
bySunami Hokuto
 
PDF
byguestda330b
 
PPT
Column Rob Van Steen
byUitinBrabant.nl
 
PDF
持続可能な教材開発プロジェクトのために教師がWebですべきこと
bySunami Hokuto
 
We Are the Circumcision
byguest4ad903
 
The Role of 'Law' in your Salvation
byguest4ad903
 
#idcon 15th ritou 2factor auth
byRyo Ito
 
Summary of OAuth 2.0 draft 8 memo
byRyo Ito
 
Anonymous OAuth Test
byRyo Ito
 
0905xx Hybrid Memo
byRyo Ito
 
Account Chooser idcon mini Vol.1
byRyo Ito
 
OID to OIDC idcon mini vol1
byRyo Ito
 
OpenID-TechNight-11-LT-mixi
byRyo Ito
 
e-Learning Design for Teacher
bySunami Hokuto
 
Vrijetijdswebsites En Web 2[1].0
byUitinBrabant.nl
 
Richtlijnen Schrijven Internetteksten Presentatie1
byUitinBrabant.nl
 
目的と実践の符号を 〜ホームページ作成を例に〜
bySunami Hokuto
 
byguestda330b
 
Column Rob Van Steen
byUitinBrabant.nl
 
持続可能な教材開発プロジェクトのために教師がWebですべきこと
bySunami Hokuto
 

Similar to Introduction of OAuth 2.0 vol.1

PDF
OAuth2.0完全に理解した_.pdf
byRyo Ishii
 
PPTX
EC-CUBE API プラグイン勉強会
byKentaro Ohkouchi
 
PDF
OAuth2.0について
byiPride Co., Ltd.
 
PDF
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
PDF
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
PPTX
今更OAuth1.0についてRFC読んで理解してみた
bynemupm
 
PDF
091009 Identity Conference #6 ritou
byRyo Ito
 
PPT
O Auth
byTaizo Matsuoka
 
PDF
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
kitproライトニングトーク
byTaichi Kimura
 
PDF
WordCamp Tokyo2016itkaasan
by松田 千尋
 
PDF
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
byNov Matake
 
PDF
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PDF
OAuth Security Workshop 2017 #osw17
byTatsuo Kudo
 
PDF
OAuth 2.0 MAC Authentication
byRyo Ito
 
PDF
Ietf95 http2
byKaoru Maeda
 
PDF
UserManagedAccess_idcon13
byRyo Ito
 
OAuth2.0完全に理解した_.pdf
byRyo Ishii
 
EC-CUBE API プラグイン勉強会
byKentaro Ohkouchi
 
OAuth2.0について
byiPride Co., Ltd.
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
byTatsuo Kudo
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
アイデンティティ2.0とOAuth/OpenID Connect
byShinichi Tomita
 
今更OAuth1.0についてRFC読んで理解してみた
bynemupm
 
091009 Identity Conference #6 ritou
byRyo Ito
 
O Auth
byTaizo Matsuoka
 
The Latest Specs of OpenID Connect at #idcon 9
byRyo Ito
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
kitproライトニングトーク
byTaichi Kimura
 
WordCamp Tokyo2016itkaasan
by松田 千尋
 
池澤あやかと学ぼう!: はじめてのOAuthとOpenID Connect - JICS 2014
byNov Matake
 
IETF94 M2M Authentication関連報告
byMasaru Kurahayashi
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
OAuth Security Workshop 2017 #osw17
byTatsuo Kudo
 
OAuth 2.0 MAC Authentication
byRyo Ito
 
Ietf95 http2
byKaoru Maeda
 
UserManagedAccess_idcon13
byRyo Ito
 

More from Ryo Ito

PDF
Ritou idcon7
byRyo Ito
 
PDF
OpenID_Connect_Spec_Demo
byRyo Ito
 
PDF
Idcon 17th ritou OAuth 2.0 CSRF Protection
byRyo Ito
 
PDF
idcon mini vol3 CovertRedirect
byRyo Ito
 
PDF
OAuth 2.0 Dance School #swj
byRyo Ito
 
PDF
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
byRyo Ito
 
PDF
YAPC::Tokyo 2013 ritou OpenID Connect
byRyo Ito
 
PDF
WebIntents × SNS
byRyo Ito
 
PDF
BackplaneProtocol超入門
byRyo Ito
 
PDF
Open id connect claims idcon mini vol1
byRyo Ito
 
Ritou idcon7
byRyo Ito
 
OpenID_Connect_Spec_Demo
byRyo Ito
 
Idcon 17th ritou OAuth 2.0 CSRF Protection
byRyo Ito
 
idcon mini vol3 CovertRedirect
byRyo Ito
 
OAuth 2.0 Dance School #swj
byRyo Ito
 
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
byRyo Ito
 
YAPC::Tokyo 2013 ritou OpenID Connect
byRyo Ito
 
WebIntents × SNS
byRyo Ito
 
BackplaneProtocol超入門
byRyo Ito
 
Open id connect claims idcon mini vol1
byRyo Ito
 

Introduction of OAuth 2.0 vol.1

  • 2.
    名前 • Ryo Ito (id:ritou) • アカウント • twitter,friendfeed,hatena : ritou • ブログ • r-weblife http://d.hatena.ne.jp/ritou/ • 内容はOpenID/OAuthあたりが多め • 所属 • OpenID OP かつ OAuth SPな会社 • 2010年5月現在、社会人5年目
  • 3.
     2010年5月5日時点で、以下の資料を参考にして OAuth 2.0の仕様を噛み砕いている自分用メモ です。  全てを解説するのは無理なのであとで小分けに ブログで書く予定ですが、話についてこれる方 は参考にしてみてください。  The OAuth 2.0 Protocol draft-hammer- oauth2-00 http://tools.ietf.org/html/draft-hammer-oauth2-00  Facebook Developers Document http://developers.facebook.com/docs/authentication /
  • 4.
    今回見ておくところは以下の2点! › Terminology : 新しい登場人物とかいない? › AuthZ flow : Clientの特性や環境によって想定さ れているAccessToken取得までのフロー
  • 5.
    あまり劇的な変更はなさそう  resource server: APIサーバ  protected resource : APIでやりとりされるデータ  client : Consumer(OAuth 1.0a)  resource owner  end user  access token  authorization server : SP(OAuth 1.0a)  authorization endpoint  token endpoint  client identifier  refresh token
  • 6.
     OAuth 1.0aでは、ブラウザアプリ/クライアン トアプリに対するAuthZ flowのみが定義された  OAuth 2.0では、その他のflowも考慮し、 Access Token取得までの流れが定義される › The user delegation authZ flows  ユーザーがClientに権限を委譲 › The end user credentials flow  ユーザーのID/PWを利用 › The autonomous authZ flows  ClientがResource owner
  • 7.
    The user delegation authZ flows › User-Agent Flow : JavaScriptなどでAuthZ › Web Server Flow : Web App Flow(OAuth1.0a) › Device Flow : Client App Flow(OAuth1.0a)
  • 8.
  • 9.
     JavaScriptなど、User-Agent(ブラウザ)上で処 理が完結されるケースを想定  AuthZ処理後、 AccessTokenなどがURI FragmentとしてClientに渡される  Client側は、 URI Fragmentに含まれるAccess Tokenなどの値を取得するScriptを用意する  Facebookはほぼそのままの仕様で実装済み http://developers.facebook.com/docs/authentication/javascript
  • 10.
  • 11.
     Clientがサーバ間通信可能なWebサーバで ある状況を想定  Request/Responseの形式はほぼOAuth WRAPのWeb App Profileの仕様と同じ › OAuth 1.0aのRequestTokenのくだりがなくな る
  • 12.
    AuthZ Serverが複数のFlowをサポートする場合、 AuthZ URLは共通でtypeパラメータによりどの Flowによる要求なのかを判断する  immediateパラメータにより、OpenIDの checkid_immediate modeのような、画面を必要 としない処理を要求可能 › ここは別途まとめたいところ  Access TokenにSecretが必要かどうかはClient側 からsecret_typeというパラメータで指定可能...? › typeによってこの場合はSecretつき(Web Server Flow)、 Secret不要(User-Agent Flow)のように最初から決めとい たほうがいいのでは?
  • 13.
  • 14.
    OAuth1.0aのClient App Flowに近いが微妙に 異なる › ユーザーがAuthZ URLにアクセスし、User Codeを 必ず手動で入力することでユーザー本人の処理を保 証させようとしている  OAuth 1.0時代のあの問題が再発しないか気に なる! › OAuth 1.0aの認可処理後のVerification Code手動 入力はなくなってる › 悪意のあるユーザーが第3者にAuthZ URLにアクセス させ、User Codeを入力させたらアウトなような...
  • 15.
    The end user credentials flow › Username and Password Flow : ID/PW入力パ ターン
  • 16.
    ※仕様ドキュメントから抜粋  twitterのxAuthのような、ID/PWをリクエス トに含む状況を想定 › ID/PW → Access Tokenを行い、Clientは Access Tokenを保存
  • 17.
    The autonomous authZ flows › Client Credentials Flow : Client ID/Secretを利 用 › Assertion Flow : SAMLのアサーションを利用 !省略!
  • 18.
    その2で残りの仕様を見ていく予定です › Refreshing an Access Token  Refresh Tokenが任意ということはまたY!のOAuth は悪者扱いされるんか... › Accessing a Protected Resource  署名はどうなる? › Identifying a Protected Resource...  ではまた!