Hitachi, Ltd. OSS Solution Center., profile picture
Uploaded byHitachi, Ltd. OSS Solution Center.
1,854 views

OAuth 2.0のResource Serverの作り方

OSSセキュリティ技術の会第8回勉強会

Embed presentation

Downloaded 10 times
© Hitachi, Ltd. 2020. All rights reserved. OSSセキュリティ技術の会 第八回勉強会 株式会社 日立製作所 OSSソリューションセンタ 2020/06/05 茂木 昂士 OAuth 入門 - Resource Serverのつくり方 -
© Hitachi, Ltd. 2020. All rights reserved. 自己紹介 1 - 茂木 昂士(もぎ たかし) - 所属 : 日立製作所 OSSソリューションセンタ - 業務 : APIセキュリティに関連するOSSの調査・検証 - @IT連載 - Keycloak超入門 - http://www.atmarkit.co.jp/ait/series/7363/
© Hitachi, Ltd. 2020. All rights reserved. 1. APIとセキュリティ 2
© Hitachi, Ltd. 2020. All rights reserved. OAuth の基本 3 Authorization Server, Client, Resource Server Client Authorization Server Resource Server 今日はこの部分の説明
© Hitachi, Ltd. 2020. All rights reserved. Resource Server のセキュリティ 4 リクエストを受け取ったResource Serverは何をするのか? - Access Tokenの有効性 - iss, exp, aud etc… - End Userの属性 - ID, Role, Group などユーザに紐づく属性値を確認 - Scope - Client がアクセスを許可された範囲 上記を確認してリクエスト要否を決定する
© Hitachi, Ltd. 2020. All rights reserved. OAuth を利用する際の API デザイン 5 一般的なAPI /users/{userID}/messages OAuthのAPI /me/messages ユーザ属性はAccess Tokenに紐づいている - User IDなどのユーザ属性は Access Token から取得する - Path Parameterと Access Token 両方をチェックする - 煩雑、バグの温床になりうる - API GWなどで変換してしまうのもあり
© Hitachi, Ltd. 2020. All rights reserved. 2. Access Token の検証方法 6
© Hitachi, Ltd. 2020. All rights reserved. Access Tokenの種類 7 Access Tokenの表現方法から2種類に分けられる - Handle - ユーザ属性情報への参照 - Reference Token, Opaque Token などと呼ばれる - Assertion - ユーザ属性を内包する - Self-Contained Tokenとも呼ばれる - 一般的にはJSON Web Token (JWT)が利用される RFC 6819 OAuth 2.0 Threat Model and Security Considerations 3.1 Tokens より
© Hitachi, Ltd. 2020. All rights reserved. Handle Token の検証 8 RFC 6772 OAuth 2.0 Token Introspection - Authorization Server が持つToken確認用のEndpoint - Access Token の有効性確認、ユーザ属性の取得 HTTP/1.1 200 OK Content-Type: application/json { "active": true, "client_id": "l238j323ds-23ij4", "username": "jdoe", "scope": "read write dolphin", "sub": "Z5O3upPC88QrAjx00dis", "aud": "https://protected.example.net/resource", "iss": "https://server.example.com/", "exp": 1419356238, "iat": 1419350238, "extension_field": "twenty-seven" } “active”: true なら有効 false でも 200 OK
© Hitachi, Ltd. 2020. All rights reserved. Assertion Token の検証 9 一般的に JWT (正確には JWS) が利用される - iss や exp, aud などのClaimをチェック - sub などからユーザのID取得 - 決まった形式はなく、ベンダー固有 JSON Web Token (JWT) Profile for OAuth 2.0 Access Tokens1 - Access Token の JWT を共通化しようとする取り組み - 初版は2019/4 現在 Draft 7 [1]: http://tools.ietf.org/html/draft-ietf-oauth-access-token-jwt-07
© Hitachi, Ltd. 2020. All rights reserved. Token Introspection vs JWT 10 Token Introspection - Authorization Server への負荷 増 - Handle, Assertion どちらでも 可 JWT - スケールしやすい - 期限前の無効化が難しい - プライバシーの問題 要件によって使い分け、組み合わせも可能
© Hitachi, Ltd. 2020. All rights reserved. 3. Spring Security Resource Server 11
© Hitachi, Ltd. 2020. All rights reserved. Spring Security OAuth2 Resource Server 12 Spring Security の機能のひとつ - OAuth Resource Server を実現するためのライブラリ - Handle, Assertion (JWT) 両方に対応 - 5.1 から JWT に対応 - Opaque (Handle) Token には 5.2.1 から - Qiitaに 「Keycloak と Spring Security で Token Introspection1」 書いてます - Authorization Server が別に必要 [1]: https://qiita.com/t-mogi/items/4a513ab80774f2c6521b
© Hitachi, Ltd. 2020. All rights reserved. Spring Security と Spring Security OAuth 13 Spring Security OAuth は別のプロジェクト - 現在 Deprecated - OAuth 関連は Spring Security に統一された - Resource Server, Client のみ - Authorization Server の機能はなくなった → Spring Authorization Server として開発が始まる(4月) 検索しづらく、古い情報にあたることが多いので注意が必要 [1]: https://github.com/spring-projects-experimental/spring-authorization-server
© Hitachi, Ltd. 2020. All rights reserved. Spring Security での 実装例 14 Token Introspection の URLを指定 spring: security: oauth2: resourceserver: opaquetoken: introspection-uri: http://localhost:8080/…introspect client-id: sample client-secret: <client_secretの値> @RequestMapping("/api/protected/") @PreAuthorize("hasAuthority('SCOPE_read')") public String index(JwtAuthenticationToken authenticationToken) { Jwt token = authenticationToken.getToken(); String username = token.getClaimAsString("preferred_username"); … } Scopeでの制御、ユーザ属性の取得
© Hitachi, Ltd. 2020. All rights reserved. 株式会社 日立製作所 OSS ソリューションセンター - Resource Serverのつくり方 - OAuth 入門 2020/06/05 茂木 昂士 END 15
16© Hitachi, Ltd. 2020. All rights reserved. 他社所有商標に関する表示 • HITACHIは、株式会社 日立製作所の商標または登録商標です。 • Springは米国及びその他の国におけるPivotal Software, Inc. の登録商標です。 • その他記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。
OAuth 2.0のResource Serverの作り方

More Related Content

PPTX
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
PDF
怖くないSpring Bootのオートコンフィグレーション
by土岐 孝平
 
PDF
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
bynaoki koyama
 
PDF
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
PDF
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
byNTT DATA Technology & Innovation
 
KeycloakでAPI認可に入門する
byHitachi, Ltd. OSS Solution Center.
 
NGINXをBFF (Backend for Frontend)として利用した話
byHitachi, Ltd. OSS Solution Center.
 
怖くないSpring Bootのオートコンフィグレーション
by土岐 孝平
 
新たなgitのブランチモデル「Git Feature Flow」!Git Flow,Git Hub Flow,Git Lab Flowを超えれるか?
bynaoki koyama
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
AWSのログ管理ベストプラクティス
byAkihiro Kuwano
 
コンテナとimmutableとわたし。あとセキュリティ。(Kubernetes Novice Tokyo #15 発表資料)
byNTT DATA Technology & Innovation
 

What's hot

PDF
超実践 Cloud Spanner 設計講座
bySamir Hammoudi
 
PPTX
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
PPTX
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Azure API Management 俺的マニュアル
by貴志 上坂
 
PDF
DDD x CQRS 更新系と参照系で異なるORMを併用して上手くいった話
byKoichiro Matsuoka
 
PDF
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
PPTX
AWSで作る分析基盤
byYu Otsubo
 
PDF
ドメイン駆動設計のための Spring の上手な使い方
by増田 亨
 
PDF
TLS, HTTP/2演習
byshigeki_ohtsu
 
PDF
Twitterのsnowflakeについて
bymoai kids
 
PDF
文字コードに起因する脆弱性とその対策(増補版)
byHiroshi Tokumaru
 
PDF
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
PDF
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
PDF
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
PDF
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 
PDF
Kongの概要と導入事例
bybriscola-tokyo
 
PDF
Where狙いのキー、order by狙いのキー
byyoku0825
 
PDF
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
PDF
GraphQL入門 (AWS AppSync)
byAmazon Web Services Japan
 
超実践 Cloud Spanner 設計講座
bySamir Hammoudi
 
Keycloakの実際・翻訳プロジェクト紹介
byHiroyuki Wada
 
Keycloakのステップアップ認証について
byHitachi, Ltd. OSS Solution Center.
 
Azure API Management 俺的マニュアル
by貴志 上坂
 
DDD x CQRS 更新系と参照系で異なるORMを併用して上手くいった話
byKoichiro Matsuoka
 
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
AWSで作る分析基盤
byYu Otsubo
 
ドメイン駆動設計のための Spring の上手な使い方
by増田 亨
 
TLS, HTTP/2演習
byshigeki_ohtsu
 
Twitterのsnowflakeについて
bymoai kids
 
文字コードに起因する脆弱性とその対策(増補版)
byHiroshi Tokumaru
 
[Aurora事例祭り]Amazon Aurora を使いこなすためのベストプラクティス
byAmazon Web Services Japan
 
マイクロにしすぎた結果がこれだよ!
bymosa siru
 
マルチテナント化で知っておきたいデータベースのこと
byAmazon Web Services Japan
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
OpenAPI 3.0でmicroserviceのAPI定義を試みてハマった話
byDaichi Koike
 
Kongの概要と導入事例
bybriscola-tokyo
 
Where狙いのキー、order by狙いのキー
byyoku0825
 
テスト文字列に「うんこ」と入れるな
byKentaro Matsui
 
GraphQL入門 (AWS AppSync)
byAmazon Web Services Japan
 

Similar to OAuth 2.0のResource Serverの作り方

PDF
OAuth 2.0 MAC Authentication
byRyo Ito
 
PDF
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
PDF
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
byFinTechLabs.io
 
PDF
OpenID Connect入門
by土岐 孝平
 
PDF
金融向けoへの認証の導入
byFIDO Alliance
 
PDF
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
PDF
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
PPTX
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
PDF
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
PPTX
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
PDF
IETF102 Report Authorization
byKaoru Maeda
 
PDF
Microservices /w Spring Security OAuth
byMakoto Kakuta
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
PDF
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
PPT
O Auth
byTaizo Matsuoka
 
PDF
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
OAuthのHolder of Key Token
byYuichi Nakamura
 
OAuth 2.0 MAC Authentication
byRyo Ito
 
API提供におけるOAuthの役割 #apijp
byTatsuo Kudo
 
Basics: OAuth and OpenID Connect #fapisum - Japan/UK Open Banking and APIs Su...
byFinTechLabs.io
 
OpenID Connect入門
by土岐 孝平
 
金融向けoへの認証の導入
byFIDO Alliance
 
なんとなくOAuth怖いって思ってるやつちょっと来い
byRyo Ito
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
byTatsuo Kudo
 
株式会社カサレアル 山本による講演「認証・認可におけるKeycloakの活用」の資料
byCASAREAL, Inc.
 
Keycloak入門-OpenID ConnectによるAPIセキュリティ
byYuichi Nakamura
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
byTatsuo Kudo
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
byFinTechLabs.io
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
byToru Yamaguchi
 
FAPI and beyond - よりよいセキュリティのために
byNat Sakimura
 
IETF102 Report Authorization
byKaoru Maeda
 
Microservices /w Spring Security OAuth
byMakoto Kakuta
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
byOpenID Foundation Japan
 
利用者本位のAPI提供に向けたアイデンティティ (ID) 標準仕様の動向
byTatsuo Kudo
 
O Auth
byTaizo Matsuoka
 
Authentication and Authorization of The Latest Keycloak
byHitachi, Ltd. OSS Solution Center.
 
OAuthのHolder of Key Token
byYuichi Nakamura
 

More from Hitachi, Ltd. OSS Solution Center.

PDF
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
PDF
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
PDF
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
PDF
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
PDF
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
PPTX
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
PDF
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
PDF
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
PPTX
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
PPTX
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
PDF
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
PPTX
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 
Secure Authorization for Agentic AI in Multi-Domain Environments
byHitachi, Ltd. OSS Solution Center.
 
Securing AI Agent Infrastructure: AuthN/AuthZ Patterns for MCP and A2A
byHitachi, Ltd. OSS Solution Center.
 
Securing Model Context Protocol with Keycloak: AuthN/AuthZ for MCP Servers
byHitachi, Ltd. OSS Solution Center.
 
API認可を支えるKeycloakの基本と設計の考え方 ~ OAuth/OIDCによるAPI保護のベストプラクティス ~
byHitachi, Ltd. OSS Solution Center.
 
Hitachi’s Keycloak Journey - Evolution of Business and Community
byHitachi, Ltd. OSS Solution Center.
 
Mastering Authorization: Integrating Authentication and Authorization Data in...
byHitachi, Ltd. OSS Solution Center.
 
KubeCon + CloudNativeCon North America セキュリティ周りrecap
byHitachi, Ltd. OSS Solution Center.
 
Let’s Join Cloud Native Computing Foundation TAG Security APAC!
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practice for Implementing Authn and Authz in a Cloud-Native En...
byHitachi, Ltd. OSS Solution Center.
 
Exploring Best Practices for Implementing Authn and Authz in a Cloud-Native E...
byHitachi, Ltd. OSS Solution Center.
 
CloudNativeSecurityCon North America 2024 Overview
byHitachi, Ltd. OSS Solution Center.
 
How Does a Workload Authenticate an API Request?: Implementing Transaction To...
byHitachi, Ltd. OSS Solution Center.
 
Guide of authentication and authorization for cloud native applications with ...
byHitachi, Ltd. OSS Solution Center.
 
KeycloakのCNCF incubating project入りまでのアップストリーム活動の歩み
byHitachi, Ltd. OSS Solution Center.
 
KubeCon NA 2023 Recap: Challenge to Implementing “Scalable” Authorization wit...
byHitachi, Ltd. OSS Solution Center.
 
パスキーでリードする: NGINXとKeycloakによる効率的な認証・認可
byHitachi, Ltd. OSS Solution Center.
 
Keycloakの全体像: 基本概念、ユースケース、そして最新の開発動向
byHitachi, Ltd. OSS Solution Center.
 
Challenge to Implementing "Scalable" Authorization with Keycloak
byHitachi, Ltd. OSS Solution Center.
 
KubeConRecap_nakamura.pdf
byHitachi, Ltd. OSS Solution Center.
 
NGINXでの認可について考える
byHitachi, Ltd. OSS Solution Center.
 

Recently uploaded

PDF
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PDF
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
PDF
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
PDF
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
PDF
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
PDF
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
PDF
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
PDF
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
PDF
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
PDF
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PDF
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
PDF
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
PDF
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 
Reiwa 7 IT Strategist Afternoon I Question-1 Ansoff's Growth Vector
byakipii ogaoga
 
PMBOK 7th Edition_Project Management Process_WF Type Development
byakipii ogaoga
 
Starlink Direct-to-Cell (D2C) 技術の概要と将来の展望
byCRI Japan, Inc.
 
PMBOK 7th Edition_Project Management Context Diagram
byakipii ogaoga
 
100年後の知財業界-生成AIスライドアドリブプレゼン イーパテントYouTube配信
bye-Patent Co., Ltd.
 
ST2024_PM1_2_Case_study_of_local_newspaper_company.pdf
byakipii ogaoga
 
Team Topology Adaptive Organizational Design for Rapid Delivery of Valuable S...
byakipii ogaoga
 
自転車ユーザ参加型路面画像センシングによる点字ブロック検出における性能向上方法の模索 (20260123 SeMI研)
byYuto Matsuda
 
FY2025 IT Strategist Afternoon I Question-1 Balanced Scorecard
byakipii ogaoga
 
2025→2026宙畑ゆく年くる年レポート_100社を超える企業アンケート総まとめ!!_企業まとめ_1229_3版
bysorabatake
 
PMBOK 7th Edition Project Management Process Scrum
byakipii ogaoga
 
第21回 Gen AI 勉強会「NotebookLMで60ページ超の スライドを作成してみた」
by嶋 是一 (Yoshikazu SHIMA)
 
Reiwa 7 IT Strategist Afternoon I Question-1 3C Analysis
byakipii ogaoga
 

OAuth 2.0のResource Serverの作り方

  • 1.
    © Hitachi, Ltd.2020. All rights reserved. OSSセキュリティ技術の会 第八回勉強会 株式会社 日立製作所 OSSソリューションセンタ 2020/06/05 茂木 昂士 OAuth 入門 - Resource Serverのつくり方 -
  • 2.
    © Hitachi, Ltd.2020. All rights reserved. 自己紹介 1 - 茂木 昂士(もぎ たかし) - 所属 : 日立製作所 OSSソリューションセンタ - 業務 : APIセキュリティに関連するOSSの調査・検証 - @IT連載 - Keycloak超入門 - http://www.atmarkit.co.jp/ait/series/7363/
  • 3.
    © Hitachi, Ltd.2020. All rights reserved. 1. APIとセキュリティ 2
  • 4.
    © Hitachi, Ltd.2020. All rights reserved. OAuth の基本 3 Authorization Server, Client, Resource Server Client Authorization Server Resource Server 今日はこの部分の説明
  • 5.
    © Hitachi, Ltd.2020. All rights reserved. Resource Server のセキュリティ 4 リクエストを受け取ったResource Serverは何をするのか? - Access Tokenの有効性 - iss, exp, aud etc… - End Userの属性 - ID, Role, Group などユーザに紐づく属性値を確認 - Scope - Client がアクセスを許可された範囲 上記を確認してリクエスト要否を決定する
  • 6.
    © Hitachi, Ltd.2020. All rights reserved. OAuth を利用する際の API デザイン 5 一般的なAPI /users/{userID}/messages OAuthのAPI /me/messages ユーザ属性はAccess Tokenに紐づいている - User IDなどのユーザ属性は Access Token から取得する - Path Parameterと Access Token 両方をチェックする - 煩雑、バグの温床になりうる - API GWなどで変換してしまうのもあり
  • 7.
    © Hitachi, Ltd.2020. All rights reserved. 2. Access Token の検証方法 6
  • 8.
    © Hitachi, Ltd.2020. All rights reserved. Access Tokenの種類 7 Access Tokenの表現方法から2種類に分けられる - Handle - ユーザ属性情報への参照 - Reference Token, Opaque Token などと呼ばれる - Assertion - ユーザ属性を内包する - Self-Contained Tokenとも呼ばれる - 一般的にはJSON Web Token (JWT)が利用される RFC 6819 OAuth 2.0 Threat Model and Security Considerations 3.1 Tokens より
  • 9.
    © Hitachi, Ltd.2020. All rights reserved. Handle Token の検証 8 RFC 6772 OAuth 2.0 Token Introspection - Authorization Server が持つToken確認用のEndpoint - Access Token の有効性確認、ユーザ属性の取得 HTTP/1.1 200 OK Content-Type: application/json { "active": true, "client_id": "l238j323ds-23ij4", "username": "jdoe", "scope": "read write dolphin", "sub": "Z5O3upPC88QrAjx00dis", "aud": "https://protected.example.net/resource", "iss": "https://server.example.com/", "exp": 1419356238, "iat": 1419350238, "extension_field": "twenty-seven" } “active”: true なら有効 false でも 200 OK
  • 10.
    © Hitachi, Ltd.2020. All rights reserved. Assertion Token の検証 9 一般的に JWT (正確には JWS) が利用される - iss や exp, aud などのClaimをチェック - sub などからユーザのID取得 - 決まった形式はなく、ベンダー固有 JSON Web Token (JWT) Profile for OAuth 2.0 Access Tokens1 - Access Token の JWT を共通化しようとする取り組み - 初版は2019/4 現在 Draft 7 [1]: http://tools.ietf.org/html/draft-ietf-oauth-access-token-jwt-07
  • 11.
    © Hitachi, Ltd.2020. All rights reserved. Token Introspection vs JWT 10 Token Introspection - Authorization Server への負荷 増 - Handle, Assertion どちらでも 可 JWT - スケールしやすい - 期限前の無効化が難しい - プライバシーの問題 要件によって使い分け、組み合わせも可能
  • 12.
    © Hitachi, Ltd.2020. All rights reserved. 3. Spring Security Resource Server 11
  • 13.
    © Hitachi, Ltd.2020. All rights reserved. Spring Security OAuth2 Resource Server 12 Spring Security の機能のひとつ - OAuth Resource Server を実現するためのライブラリ - Handle, Assertion (JWT) 両方に対応 - 5.1 から JWT に対応 - Opaque (Handle) Token には 5.2.1 から - Qiitaに 「Keycloak と Spring Security で Token Introspection1」 書いてます - Authorization Server が別に必要 [1]: https://qiita.com/t-mogi/items/4a513ab80774f2c6521b
  • 14.
    © Hitachi, Ltd.2020. All rights reserved. Spring Security と Spring Security OAuth 13 Spring Security OAuth は別のプロジェクト - 現在 Deprecated - OAuth 関連は Spring Security に統一された - Resource Server, Client のみ - Authorization Server の機能はなくなった → Spring Authorization Server として開発が始まる(4月) 検索しづらく、古い情報にあたることが多いので注意が必要 [1]: https://github.com/spring-projects-experimental/spring-authorization-server
  • 15.
    © Hitachi, Ltd.2020. All rights reserved. Spring Security での 実装例 14 Token Introspection の URLを指定 spring: security: oauth2: resourceserver: opaquetoken: introspection-uri: http://localhost:8080/…introspect client-id: sample client-secret: <client_secretの値> @RequestMapping("/api/protected/") @PreAuthorize("hasAuthority('SCOPE_read')") public String index(JwtAuthenticationToken authenticationToken) { Jwt token = authenticationToken.getToken(); String username = token.getClaimAsString("preferred_username"); … } Scopeでの制御、ユーザ属性の取得
  • 16.
    © Hitachi, Ltd.2020. All rights reserved. 株式会社 日立製作所 OSS ソリューションセンター - Resource Serverのつくり方 - OAuth 入門 2020/06/05 茂木 昂士 END 15
  • 17.
    16© Hitachi, Ltd.2020. All rights reserved. 他社所有商標に関する表示 • HITACHIは、株式会社 日立製作所の商標または登録商標です。 • Springは米国及びその他の国におけるPivotal Software, Inc. の登録商標です。 • その他記載の会社名、製品名などは、それぞれの会社の商標もしくは登録商標です。