Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
はてなアカウント基盤 State of the Union
Search
Sponsored
·
Ship Features Fearlessly
Turn features on and off without deploys. Used by thousands of Ruby developers.
→
cockscomb
June 30, 2026
Programming
20
0
Share
Embed
Copy iframe code
Copy JS code
Copy link
Start on current slide
はてなアカウント基盤 State of the Union
cockscomb
June 30, 2026
More Decks by cockscomb
See All by cockscomb
jq at the Shortcuts
cockscomb
1
2.1k
GraphQL放談
cockscomb
4
2.1k
GraphQL Highway
cockscomb
28
8.8k
吉田を支える技術
cockscomb
0
2.5k
コーポレートサイトを静的化してAmplify Consoleにデプロイする
cockscomb
0
3.5k
ユーザインターフェイスと非同期処理
cockscomb
5
2k
GUIアプリケーションの構造と設計
cockscomb
10
10k
イカリング2におけるシングルページアプリケーション
cockscomb
2
7.7k
あなたの知らない UIKit の世界 — UITableView に UITextView を置きたい
cockscomb
1
7.6k
Other Decks in Programming
See All in Programming
1B+ /day規模のログを管理する技術
broadleaf
0
110
ADKを使って簡単にAIエージェントを作ってみよう
k1mu21
0
280
Oxlintのカスタムルールの現況
syumai
6
1.1k
気づいたらRubyで100作品 ー クリエイティブコーディングが生活の一部になるまで / 100 Ruby Sketches Later: How Creative Coding Became Part of My Life
chobishiba
3
610
Vite+ Unified Toolchain for the Web
naokihaba
0
330
Go1.27で導入されるジェネリクスメソッドでできること
mackee
0
170
Honoでのサプライチェーン侵害対策 〜 3つのライブラリに学ぶ
yusukebe
7
1.4k
Semantic Version 単位で戦略を柔軟に変えて、パッケージアップデートを自動化する
daitasu
1
290
Claspは野良GASの夢をみるか
takter00
0
210
フロントエンドとバックエンドで「1文字」を揃えよう
youkidearitai
PRO
0
730
脅威をエンジニアリングの糧にして――現場編 / Turning Threats into Engineering Fuel — Field Edition
nrslib
0
290
Java × distroless で 軽量なコンテナイメージを / Java on Distroless
contour_gara
0
560
Featured
See All Featured
Being A Developer After 40
akosma
91
590k
svc-hook: hooking system calls on ARM64 by binary rewriting
retrage
2
300
How to Build an AI Search Optimization Roadmap - Criteria and Steps to Take #SEOIRL
aleyda
1
2.1k
Dominate Local Search Results - an insider guide to GBP, reviews, and Local SEO
greggifford
PRO
0
200
How to build a perfect <img>
jonoalderson
1
5.7k
The Straight Up "How To Draw Better" Workshop
denniskardys
239
140k
Abbi's Birthday
coloredviolet
3
8.2k
New Earth Scene 8
popppiees
3
2.4k
Fight the Zombie Pattern Library - RWD Summit 2016
marcelosomers
234
17k
ReactJS: Keep Simple. Everything can be a component!
pedronauck
666
130k
GraphQLの誤解/rethinking-graphql
sonatard
75
12k
What's in a price? How to price your products and services
michaelherold
247
13k
Transcript
はてなアカウント基盤 State of the Union id:cockscomb 2026/06/30 Hatena Engineer Seminar
1
id:cockscomb 加藤 尋樹 チーフエンジニア SPFのテックリード/サブマネージャー 勤続13年 2
サービスプラットフォームチーム 略称 — SPF はてなサービスの基盤を司るチーム 3
はてなアカウント基盤 State of the Union アカウント基盤についての現況をお話しします 4
5 accounts.hatena.ne.jp/login
はてなのログイン はてなID+パスワード(+TOTP) パスキー Apple/Google/Xでログイン 6
パスキーと多要素認証に対応 はてなへのログインがパスキーと多要素認証に 対応し、よりセキュアになりました 多要素認証はTOTP (Time-based One-Time Password) 7
ログインフローを変えるには スマートフォンアプリでもログインしていた ネイティブアプリ初期の意思決定が見直されて いなかった 8
認証と認可 認証 向こう側にいるのは誰か確かめる 認可 クライアントに何を許すか決める 9
最高のアカウント基盤にしたい 「当たり前」を満たしたい サービスを豊かにする強靭なアカウント基盤 10
hatenaid 11
アカウント基盤の再構築 「hatenaid」プロジェクト Perl→Go 認証と認可の整理 将来にわたる改善のためのヘッドルームの確保 12
標準に倣う ログインAPIを発明しない ネイティブアプリが使うのは認可 OAuth 2/OIDCの仕様に倣う コード上でもOAuth 2の概念が一級市民 13
OAuth 2の認可サーバーに 認可サーバー アクセストークンを発行する側 リソースサーバー アクセストークンを受け取る側 14
OAuth 2の仕様に倣う、とは OAuth 2に関連するRFCはたくさんある! RFC 6749 - The OAuth 2.0
Authorization Framework OAuth 2.0の中心。これは当然として draft-ietf-oauth-v2-1-15 OAuth 2.1のdraftも参照 15
アクセストークン RFC 9068 - JSON Web Token (JWT) Profile for
OAuth 2.0 Access Tokens JWT形式(ステートレスではない) RFC 7009 - OAuth 2.0 Token Revocation Revokeエンドポイントもある 16
アクセストークン RFC 7662 - OAuth 2.0 Token Introspection リソースサーバーはIntrospectionエンドポイ ントを呼び出して検証する
17
認可サーバーのメタデータ RFC 8414 - OAuth 2.0 Authorization Server Metadata accounts.hatena.ne.jp/.well-known/oauth
-authorization-server (利用は今の所ご遠慮ください) 18
ネイティブアプリ RFC 8252 - OAuth 2.0 for Native Apps Webベース
(ASWebAuthenticationSession/Custom Tabs) PKCE AppAuthライブラリ 19
ネイティブアプリOAuth 2化 アカウント基盤の更新 Web APIのリソースサーバー化 ネイティブアプリ向け社内SDKの提供 移行完了 20
hatenaidローンチ 認証・認可の基盤として 多要素認証・パスキー導入の準備ができた 21
多要素認証とパスキーについて考える 22 Something You Know Something You Have Something You
Are パスワード ◦ TOTP ◦ パスキー ? ◦ ?
多要素認証とパスキーについて考える リファレンスを頼る NIST SP 800-63 Digital Identity Guidelines 仕様決定時の参考にしている パスキーの安全性について
- cockscomblog? 23
多要素認証とパスキーについて考える リファレンスを頼る パスキーのユーザー ジャーニー | Passkeys | Google for Developers
24
Conditional UI 25
多要素認証とパスキー はてなへのログインがパスキーと多要素認証に 対応し、よりセキュアになりました 同時リリース パスキーを推し出す形に 利便性やフィッシング耐性を含めパスキー推奨 26
パスキーの新しい仕様に追従 Conditional Create (Automatic Passkey Upgrade) はてなへのログインにパスキーへの自動アップ グレードを導入しました Signal API
27
サービス開発を楽にする 新しいラボサービスの認証にhatenaidのOIDC ラボサービスのアプリにもOAuth 2を提供 28
時代に合わせたアカウント基盤 アカウント基盤にも変化が求められる 新しい標準への対応 より便利でより安全な仕組み 29
将来の変化に向けて AIエージェントの時代になってアカウント基盤 に求められる機能 Authorization - Model Context Protocol MCPのHTTP-based transportにおける認可
30
事前知識のないクライアントからの認 可 これまで クライアントはサーバーの事前知識があった MCP クライアントにサーバーの事前知識がない 31
クライアントをどう登録するか RFC 7591 - OAuth 2.0 Dynamic Client Registration Protocol
動的クライアント登録 draft-ietf-oauth-client-id-metadata-docum ent-01 クライアント情報のURLをClient IDにする 32
まとめ はてなのアカウント基盤の進化を紹介した 認証・認可の分離 セキュアな認証への対応 アカウント基盤は真面目にやるほどおもしろい 時代に合わせたニーズがある 33