Enviar búsqueda
Cargar
Idcon11 implicit demo
•
13 recomendaciones
•
4,109 vistas
Ryo Ito
Seguir
OAuth Implicit Flow Demo at idcon#11
Leer menos
Leer más
Tecnología
Denunciar
Compartir
Denunciar
Compartir
1 de 62
Recomendados
OAuth認証について
OAuth認証について
Yoshifumi Sato
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
ID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-on
Nov Matake
Authlete overview
Authlete overview
mtisol
Recomendados
OAuth認証について
OAuth認証について
Yoshifumi Sato
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
なんとなくOAuth怖いって思ってるやつちょっと来い
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
今更聞けないOAuth2.0
今更聞けないOAuth2.0
Takahiro Sato
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
ID & IT 2013 - OpenID Connect Hands-on
ID & IT 2013 - OpenID Connect Hands-on
Nov Matake
Authlete overview
Authlete overview
mtisol
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
マイクロWebアプリケーション - Developers.IO 2016
マイクロWebアプリケーション - Developers.IO 2016
都元ダイスケ Miyamoto
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れ
Takeshi Mikami
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
dstn
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
OAuth2基礎知識
OAuth2基礎知識
sokamo1975
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
Oauth2.0とか(認証と認可)_201403
Oauth2.0とか(認証と認可)_201403
Shunsuke Mihara
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
Full stack security
Full stack security
DPC Consulting Ltd
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
Más contenido relacionado
La actualidad más candente
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
マイクロWebアプリケーション - Developers.IO 2016
マイクロWebアプリケーション - Developers.IO 2016
都元ダイスケ Miyamoto
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れ
Takeshi Mikami
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
Ryo Ito
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
dstn
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
OAuth2基礎知識
OAuth2基礎知識
sokamo1975
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
Oauth2.0とか(認証と認可)_201403
Oauth2.0とか(認証と認可)_201403
Shunsuke Mihara
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
La actualidad más candente
(20)
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
マイクロWebアプリケーション - Developers.IO 2016
マイクロWebアプリケーション - Developers.IO 2016
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
OAuth認証再考からのOpenID Connect #devlove
OAuth認証再考からのOpenID Connect #devlove
OAuth 2.0による認可の流れ
OAuth 2.0による認可の流れ
OID to OIDC idcon mini vol1
OID to OIDC idcon mini vol1
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
API提供におけるOAuthの役割 #apijp
API提供におけるOAuthの役割 #apijp
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
認証技術、デジタルアイデンティティ技術の最新動向
認証技術、デジタルアイデンティティ技術の最新動向
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
認証の課題とID連携の実装 〜ハンズオン〜
認証の課題とID連携の実装 〜ハンズオン〜
OAuth2基礎知識
OAuth2基礎知識
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Connect - Nat Sakimura at OpenID TechNight #7
これからのネイティブアプリにおけるOpenID Connectの活用
これからのネイティブアプリにおけるOpenID Connectの活用
Idcon25 FIDO2 の概要と YubiKey の実装
Idcon25 FIDO2 の概要と YubiKey の実装
Oauth2.0とか(認証と認可)_201403
Oauth2.0とか(認証と認可)_201403
ID連携のあるとき~、ないとき~ #エンプラ編
ID連携のあるとき~、ないとき~ #エンプラ編
Destacado
Full stack security
Full stack security
DPC Consulting Ltd
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11
Nov Matake
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
Python で OAuth2 をつかってみよう!
Python で OAuth2 をつかってみよう!
Project Samurai
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
AngularFireで楽々バックエンド
AngularFireで楽々バックエンド
Yosuke Onoue
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
Nov Matake
Oracle API Gateway
Oracle API Gateway
Rakesh Gujjarlapudi
オフラインファーストの思想と実践
オフラインファーストの思想と実践
Shumpei Shiraishi
Securing RESTful APIs using OAuth 2 and OpenID Connect
Securing RESTful APIs using OAuth 2 and OpenID Connect
Jonathan LeBlanc
Angular2実践入門
Angular2実践入門
Shumpei Shiraishi
angular1脳で見るangular2
angular1脳で見るangular2
Moriyuki Arakawa
Securing Serverless Workloads with Cognito and API Gateway Part II - AWS Secu...
Securing Serverless Workloads with Cognito and API Gateway Part II - AWS Secu...
Amazon Web Services
Api gatewayの話
Api gatewayの話
Hiroshi Hayakawa
Destacado
(16)
Full stack security
Full stack security
アイデンティティ2.0とOAuth/OpenID Connect
アイデンティティ2.0とOAuth/OpenID Connect
OpenID Connect 101 @ OpenID TechNight vol.11
OpenID Connect 101 @ OpenID TechNight vol.11
OpenID ConnectとAndroidアプリのログインサイクル
OpenID ConnectとAndroidアプリのログインサイクル
Python で OAuth2 をつかってみよう!
Python で OAuth2 をつかってみよう!
YAPC::Tokyo 2013 ritou OpenID Connect
YAPC::Tokyo 2013 ritou OpenID Connect
AngularFireで楽々バックエンド
AngularFireで楽々バックエンド
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
ID連携概要 - OpenID TechNight vol.13
ID連携概要 - OpenID TechNight vol.13
Oracle API Gateway
Oracle API Gateway
オフラインファーストの思想と実践
オフラインファーストの思想と実践
Securing RESTful APIs using OAuth 2 and OpenID Connect
Securing RESTful APIs using OAuth 2 and OpenID Connect
Angular2実践入門
Angular2実践入門
angular1脳で見るangular2
angular1脳で見るangular2
Securing Serverless Workloads with Cognito and API Gateway Part II - AWS Secu...
Securing Serverless Workloads with Cognito and API Gateway Part II - AWS Secu...
Api gatewayの話
Api gatewayの話
Similar a Idcon11 implicit demo
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
Ryo Ito
OpenID Connect入門
OpenID Connect入門
土岐 孝平
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
Ryo Ito
OIDC(OpenID Connect)について解説③
OIDC(OpenID Connect)について解説③
iPride Co., Ltd.
Anonymous OAuth Test
Anonymous OAuth Test
Ryo Ito
OAuth 2.0 と ライブラリ
OAuth 2.0 と ライブラリ
Kenji Otsuka
0905xx Hybrid Memo
0905xx Hybrid Memo
Ryo Ito
kitproライトニングトーク
kitproライトニングトーク
Taichi Kimura
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
Whats wrong oauth_authn
Whats wrong oauth_authn
Nov Matake
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Toru Yamaguchi
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
deflis
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルー
Naohiro Fujie
SSLの技術的な仕組みとサイトのSSL化について
SSLの技術的な仕組みとサイトのSSL化について
ssuserb5e2a0
Chrome ExtensionでSelf-Issued OpenID Provider
Chrome ExtensionでSelf-Issued OpenID Provider
Takeru Ujinawa
OIDC(OpenID Connect)について解説①
OIDC(OpenID Connect)について解説①
iPride Co., Ltd.
Similar a Idcon11 implicit demo
(20)
Introduction of OAuth 2.0 vol.1
Introduction of OAuth 2.0 vol.1
OpenID Connect入門
OpenID Connect入門
The Latest Specs of OpenID Connect at #idcon 9
The Latest Specs of OpenID Connect at #idcon 9
OCHaCafe#5 - 避けては通れない!認証・認可
OCHaCafe#5 - 避けては通れない!認証・認可
091009 Identity Conference #6 ritou
091009 Identity Conference #6 ritou
OIDC(OpenID Connect)について解説③
OIDC(OpenID Connect)について解説③
Anonymous OAuth Test
Anonymous OAuth Test
OAuth 2.0 と ライブラリ
OAuth 2.0 と ライブラリ
0905xx Hybrid Memo
0905xx Hybrid Memo
kitproライトニングトーク
kitproライトニングトーク
Financial-grade API Hands-on with Authlete
Financial-grade API Hands-on with Authlete
Whats wrong oauth_authn
Whats wrong oauth_authn
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
TwitterのOAuthってなんぞ?
TwitterのOAuthってなんぞ?
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FAPI and beyond - よりよいセキュリティのために
FAPI and beyond - よりよいセキュリティのために
LINEログインの最新アップデートとアプリ連携ウォークスルー
LINEログインの最新アップデートとアプリ連携ウォークスルー
SSLの技術的な仕組みとサイトのSSL化について
SSLの技術的な仕組みとサイトのSSL化について
Chrome ExtensionでSelf-Issued OpenID Provider
Chrome ExtensionでSelf-Issued OpenID Provider
OIDC(OpenID Connect)について解説①
OIDC(OpenID Connect)について解説①
Más de Ryo Ito
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
idcon mini vol3 CovertRedirect
idcon mini vol3 CovertRedirect
Ryo Ito
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Ryo Ito
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Ryo Ito
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Ryo Ito
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
Ryo Ito
BackplaneProtocol超入門
BackplaneProtocol超入門
Ryo Ito
UserManagedAccess_idcon13
UserManagedAccess_idcon13
Ryo Ito
WebIntents × SNS
WebIntents × SNS
Ryo Ito
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
Ryo Ito
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
Ryo Ito
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ryo Ito
Ritou idcon7
Ritou idcon7
Ryo Ito
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
Más de Ryo Ito
(15)
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
idcon mini vol3 CovertRedirect
idcon mini vol3 CovertRedirect
OpenID-TechNight-11-LT-mixi
OpenID-TechNight-11-LT-mixi
Idcon 17th ritou OAuth 2.0 CSRF Protection
Idcon 17th ritou OAuth 2.0 CSRF Protection
#idcon 15th ritou 2factor auth
#idcon 15th ritou 2factor auth
Open id connect claims idcon mini vol1
Open id connect claims idcon mini vol1
Account Chooser idcon mini Vol.1
Account Chooser idcon mini Vol.1
BackplaneProtocol超入門
BackplaneProtocol超入門
UserManagedAccess_idcon13
UserManagedAccess_idcon13
WebIntents × SNS
WebIntents × SNS
OpenID_Connect_Spec_Demo
OpenID_Connect_Spec_Demo
OAuth 2.0 MAC Authentication
OAuth 2.0 MAC Authentication
OAuth 2.0 Dance School #swj
OAuth 2.0 Dance School #swj
Ritou idcon7
Ritou idcon7
Summary of OAuth 2.0 draft 8 memo
Summary of OAuth 2.0 draft 8 memo
Idcon11 implicit demo
1.
OpenID Connect Demo IdCon
#11 IDENTITY CONFERENCE @ritou
2.
やりません
3.
Implicit Flowを考える会 IdCon #11
IDENTITY CONFERENCE @ritou
4.
OAuth 2.0には Implicit Flowってのがありまして
5.
Client Secretを 安全に保管できない場合に 使うことになってます
6.
使いどころ • JavaScriptをインクルードしてClient ID
だけ指定して呼び出せばOAuthの処 理やっちゃう系 • iOS/Androidのアプリやデスクトップ PCなど、、リバースエンジニアリング 可能なクライアント
7.
今回問題となるのは、
8.
いわゆる OAuth認証
9.
OAuth 2.0 +
Profile API で SSO をImplicitでやる場合
10.
10
OAuth : Implicit Flow Server Client 1. ログインしたい End User
11.
11
OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 合鍵ください Client 1. ログインしたい End User
12.
12
OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
13.
13
OAuth : Implicit Flow Server 4. 合鍵を使って プロフィール情報 のロッカーに アクセス 2. Serverさん、 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
14.
14
OAuth : Implicit Flow Server 4. 合鍵を使って ログイン プロフィール情報 のロッカーに アクセス 2. Serverさん、 成功 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
15.
これがそのまま行われる 合鍵=Access Token
16.
17.
見せましょう
18.
材料 • OAuth 2.0のImplicit
Flowを利用するClient – Sample Client A できあがったものがこちらです。 https://r- weblife.sakura.ne.jp/idcon11/SampleA.php
19.
Access Tokenだけで 簡単にログインさせることが
できました。
20.
Access Tokenだけで 簡単にログインさせることが
できました。
21.
AccessTokenに紐づく人を 認証された人として
扱っています
22.
もし、 サンプルサイトAの管理者が 悪いことを考えたら
23.
「うちでもらったAccess Token よそでも使えるのでは?」
24.
24
OAuth : Implicit Flow Server Client 1. ログインしたい End User
25.
25
OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 合鍵ください Client 1. ログインしたい End User
26.
26
OAuth : Implicit Flow Server Evil Client 3.こっそり 別の合鍵 2. Serverさん、 あげます ロッカーの 合鍵ください Client 1. ログインしたい End User
27.
27
OAuth : Implicit Flow Server Evil 4. 合鍵を使って Client プロフィール情報 3.こっそり のロッカーに 別の合鍵 アクセス 2. Serverさん、 あげます ロッカーの 合鍵ください Client 1. ログインしたい End User
28.
28
OAuth : Implicit Flow Server Evil 4. 合鍵を使って Client ログイン プロフィール情報 3.こっそり のロッカーに 別の合鍵 アクセス 2. Serverさん、 あげます 成功??? ロッカーの 合鍵ください Client 1. ログインしたい End User
29.
サイトAがもらったAccess TokenでサイトBのレスポ ンス中のAccessTokenを 置き換える
30.
やりましょう
31.
材料 • OAuth 2.0のImplicit
Flowを利用するClient – Sample Client A – Sample Client B • 悪い管理人 –A できあがったものがこちらです。 https://r-weblife.sakura.ne.jp/idcon11/SampleB.php
32.
Access Tokenだけで 別人としてログインさせることが
できました。
33.
これはやばい?
34.
Implicit Flowを Disってるわけではない
35.
フラグメントで受け取った
AccessTokenを 信用するしかないしくみだし
36.
Access Tokenは リソースアクセスのためのもの
37.
わかってて Profile APIの結果で ログインさせますか?
って話
38.
では、そういうClientに ログインさせたい場合は
どうすれば?
39.
そこで OpenID Connect
40.
どう違うのか?
41.
OpenID Connectでは、 認証結果の受け渡しに
ID Tokenを使う
42.
ID Token=紹介状
43.
43 OpenID Connect :
Implicit Flow Server Client 1. ログインしたい End User
44.
44 OpenID Connect :
Implicit Flow Server 2. Serverさん、 証明書と合鍵 ください Client 1. ログインしたい End User
45.
45 OpenID Connect :
Implicit Flow Server 2. Serverさん、 3. 合鍵と証明書 証明書と合鍵 あげます ください Client 1. ログインしたい End User
46.
46 OpenID Connect
: Implicit Flow Server 2. Serverさん、 3. 合鍵と証明書 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
47.
47
OpenID Connect : Implicit Flow Server 5. 合鍵を使って プロフィール情報 のロッカーに アクセス 3. 合鍵と証明書 2. Serverさん、 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
48.
48
OAuth : Implicit Flow Server 5. 合鍵を使って これで プロフィール情報 のロッカーに アクセス 3. 合鍵と証明書 2. Serverさん、 いける? 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
49.
ID Tokenの例 • eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3
MiOiJodHRwOlwvXC 9zZXJ2ZXIuZXhhbXBsZS5jb20iLCJ1c2VyX2lkIjoi MjQ4Mjg5NzYxMDAxIiwiYXVkIjoiaH R0cDpcL1wvY2xpZW50LmV4YW1wbGUuY29tI iwiZXhwIjoxMzExMjgxOTcwfQ.eDesUD0vzDH 3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ
50.
ID Tokenの例 • eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3
意味不明 MiOiJodHRwOlwvXC 9zZXJ2ZXIuZXhhbXBsZS5jb20iLCJ1c2VyX2lkIjoi MjQ4Mjg5NzYxMDAxIiwiYXVkIjoiaH R0cDpcL1wvY2xpZW50LmV4YW1wbGUuY29tI iwiZXhwIjoxMzExMjgxOTcwfQ.eDesUD0vzDH 3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ
51.
ID Tokenの中身 • iss
: Server Identifier • user_id : • aud : Client Identifier • exp : (有効期限) • acr : 認証レベルなど • nonce : (リプレイアタック防ぐための文字列) これらをJSON形式にして署名つけたもの
52.
ID Tokenを使うメリット • Server,Client,ユーザーID,nonceを含むため、
Clientは自ら送ったリクエストに対するレスポ ンスだということを確認できる
53.
OpenID Connectによって Access Token置き換え攻撃 に気づけるのかやってみた
54.
材料 • OAuth 2.0のImplicit
Flowを利用するClient – Sample Client A • OpenID ConnectのImplicit Flowを利用するClient – Sample Client C • 悪い管理人 –A できあがったものがこちらです。 https://r-weblife.sakura.ne.jp/idcon11/SampleC.php
55.
ID Tokenを使うことで Access Token置き換え攻撃
にも気づける
56.
OpenID Connect やりましょう
57.
いや、みなさん、 他にも言いたいこと あると思う
58.
ID Tokenを 置き換えられないの?
59.
ID Tokenを 置き換えられないの?
↓ 中のClientIDやらを見て 検証すれば気づくはず
60.
Access Tokenとの組み合わせも
確認できないよね?
61.
Access Tokenとの組み合わせも
確認できないよね? ↓ ID Tokenに Access Tokenのhashつっこむ のを検討中
62.
続きはまたあとで! Twitter/Facebook/Google+
などで質問受け付けます (@_nat,@nov,@ritouあたり)