Upgrade to Pro — share decks privately, control downloads, hide ads and more …

lightweight authenticity of microservices

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for wtnabe wtnabe
August 20, 2016
Programming
0
490

lightweight authenticity of microservices

これくらいならユーザー認証なしでやってもいいかも? みたいな割り切りの話。

Avatar for wtnabe

wtnabe

August 20, 2016
Tweet

More Decks by wtnabe

See All by wtnabe
Rubyでもモノリポしたい - 調査、おわわり編 -
Avatar for wtnabe wtnabe
0
28
Ruby de Railway Oriented Programming
Avatar for wtnabe wtnabe
0
61
Bindanのススメ
Avatar for wtnabe wtnabe
0
41
そのオブジェクト、何を保証してくれますか? - GuideRailのススメ -
Avatar for wtnabe wtnabe
0
55
Effective Jekyll
Avatar for wtnabe wtnabe
0
84
5 min Jekyll/Liquid Plugin cooking
Avatar for wtnabe wtnabe
0
46
Ruby de Wasm
Avatar for wtnabe wtnabe
0
75
Cloud Native Buildpacksって結局どうなの?
Avatar for wtnabe wtnabe
0
61
Decoupled System with Turbo Frame
Avatar for wtnabe wtnabe
1
150

Other Decks in Programming

See All in Programming
副作用をどこに置くか問題:オブジェクト指向で整理する設計判断ツリー
Avatar for Koya Masuda koxya
1
610
QAフローを最適化し、品質水準を満たしながらリリースまでの期間を最短化する #RSGT2026
Avatar for shibayu36 shibayu36
2
4.4k
なぜSQLはAIぽく見えるのか/why does SQL look AI like
Avatar for florets1 florets1
0
480
AI時代の認知負荷との向き合い方
Avatar for OptFit Corp. optfit
0
170
高速開発のためのコード整理術
Avatar for sutetotanuki sutetotanuki
1
410
KIKI_MBSD Cybersecurity Challenges 2025
Avatar for ikema ikema
0
1.3k
Unicodeどうしてる? PHPから見たUnicode対応と他言語での対応についてのお伺い
Avatar for てきめん tekimen youkidearitai
PRO
1
2.6k
CSC307 Lecture 04
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
660
それ、本当に安全? ファイルアップロードで見落としがちなセキュリティリスクと対策
Avatar for ikechi penpeen
7
4k
24時間止められないシステムを守る-医療ITにおけるランサムウェア対策の実際
Avatar for kouki.miura koukimiura
1
130
AI によるインシデント初動調査の自動化を行う AI インシデントコマンダーを作った話
Avatar for azukiazusa azukiazusa1
1
750
責任感のあるCloudWatchアラームを設計しよう
Avatar for アキキー akihisaikeda
3
180

Featured

See All Featured
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
1
110
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
370
20k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
304
21k
The AI Search Optimization Roadmap by Aleyda Solis
Avatar for Aleyda Solis aleyda
1
5.2k
The State of eCommerce SEO: How to Win in Today's Products SERPs - #SEOweek
Avatar for Aleyda Solis aleyda
2
9.6k
Taking LLMs out of the black box: A practical guide to human-in-the-loop distillation
Avatar for Ines Montani inesmontani
PRO
3
2k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
460
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Primal Persuasion: How to Engage the Brain for Learning That Lasts
Avatar for Mike Taylor tmiket
0
260
Design of three-dimensional binary manipulators for pick-and-place task avoiding obstacles (IECON2024)
Avatar for konakalab konakalab
0
350
AI in Enterprises - Java and Open Source to the Rescue
Avatar for ivargrimstad ivargrimstad
0
1.1k
Designing for Performance
Avatar for Lara Hogan lara
610
70k

Transcript

  1. インターネット越しの マイクロサービスな WebAPIの真正性設計 @wtnabe Kanazawa.rb meetup #48 2016-08-20 (Sat) at

    IT Plaza MUSASHI

  2. お品書き 真正性 今回の⽬的 メッセージ認証 今回の設計

  3. 真正性

  4. authenticity なりすましではないこと

  5. インターネット越しの通信 相⼿が誰か分からない 内容が改竄されていないか分からない

  6. 対策技術 ユーザー認証 メッセージ認証

  7. ユーザー認証 独⾃実装 既存の認証機構を利⽤ SSL証明書を利⽤する ID / password⽅式 公開鍵⽅式

  8. メッセージ認証 MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  9. ユーザー認証が重い 実装は重い パスワード管理は重い 鍵ペア管理は重い

  10. 逆に⽳になったり 独⾃実装がヘボい 管理がヘボい

  11. 今回の⽬的

  12. マイクロサービスな WebAPIアクセス

  13. 「ユーザー」は1⼈2⼈しかいないはず (やりとりの必要なサービスは当初せ いぜい1つか2つ程度だろう) ⼤げさなユーザー認証機構は必要か? ⼤げさなユーザー認証機構は必要か?

  14. もう⼀度 制約 制約 インターネット越し AWS VPCのようなゾーンはない あくまでアプリで VPN組むとかナシで

  15. メッセージ認証

  16. おおまかに MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  17. おおまかに 内容の⼀致しか分からない 鍵ペア管理が重い 共通の秘密鍵しかないので管理しやすい

  18. MACいいんじゃない?

  19. MAC 1. 共通の秘密鍵を持つ 2. 送信側 メッセージから鍵を⽤いてMACを⽣成 メッセージ本⽂とMACを送信 3. 受信側 メッセージ本⽂と秘密鍵からMACを⽣成

    受信したMACを検証

  20. メリット 鍵が漏れていなければメッセージは改竄 されていないと⾔える 鍵そのものは送らないので暗号化不要

  21. HMAC HMAC: Keyed-Hashing for Message Authentication (RFC 2104) MACを⽣成するアルゴリズムにハッシュ 関数を利⽤する

    ハッシュ関数は反復利⽤される 鍵もそのまま利⽤するわけではない

  22. 詳しくはおぐぐりください

  23. 利⽤例 AWS REST リクエストの署名と認証 - Amazon Simple Storage Service 基本的な認証のプロセス

    - Amazon Simple Queue Service SSH Protocol 2 integrity

  24. 今回の設計

  25. マイクロサービスなWebAPI

  26. 割り切り 秘密鍵を知っていることを以って相⼿を 信⽤することでユーザー認証不要に ⼆つのサービスの環境変数に同じ秘密 鍵をセットするだけでOK 公開してよい情報なら暗号化も不要

  27. 実装も楽 枯れた⼿法 (1997年 RFC 2104) 実装も普通にアリモノでOK OpenSSL::HMAC (Ruby) hash_hmac() (PHP)

  28. 事例もある SSH, AWSはデカイ

  29. インターネット越しでも HMACでお⼿軽 マイクロサービス

  30. 参考 HMAC: Keyed-Hashing for Message Authentication (RFC 2104 / IPA)