Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
Search
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
4
750
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
「第42回 HTML5とか勉強会」 2013/9/25 (
http://atnd.org/events/43538
) 発表資料 #html5j
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Tweet
Share
More Decks by HAYASHI, Tatsuya ( @lef )
See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.2k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
830
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
280
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
150
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
110
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
48
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
54
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
290
Online Identity Workshop Vol. 1
lef
0
84
Other Decks in Technology
See All in Technology
TechFeed Experts Night#27 〜 フロントエンドフレームワーク最前線 (Svelte)
baseballyama
1
530
Azureの基本的な権限管理の勉強会
yhana
0
580
開発生産性大幅アップ!Postman VS Code拡張機能
nagix
2
380
ワールドカフェI /チューターを改良する / World Café I and Improving the Tutors
ks91
PRO
0
120
VS CodeでAWSを操作しよう
smt7174
8
1.7k
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
280
レガシーをぶっ壊せ。AEONで始めるDevRelの話 / Qiita Night 2024-2-22
aeonpeople
3
1.3k
オーナーシップを持つ領域を明確にする
konifar
13
3.2k
自己改善からチームを動かす! 「セルフエンジニアリングマネージャー」のすゝめ
shoota
6
750
チームでロジカルシンキングに改めて向き合っている話 〜学習環境と実践⽅法〜
sansantech
PRO
3
2.6k
ゼロから始めるVue.jsコミュニティ貢献 / first-vuejs-community-contribution-link-and-motivation
lmi
1
130
生産性向上チームの紹介
cybozuinsideout
PRO
1
870
Featured
See All Featured
Infographics Made Easy
chrislema
238
18k
[RailsConf 2023] Rails as a piece of cake
palkan
23
4k
Building Adaptive Systems
keathley
31
1.9k
How To Stay Up To Date on Web Technology
chriscoyier
782
250k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
The Art of Programming - Codeland 2020
erikaheidi
42
12k
Code Reviewing Like a Champion
maltzj
514
39k
How to train your dragon (web standard)
notwaldorf
73
5.2k
The Invisible Side of Design
smashingmag
294
49k
Embracing the Ebb and Flow
colly
80
4.1k
In The Pink: A Labor of Love
frogandcode
138
21k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
14
1.5k
Transcript
https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.
課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
自己紹介 名前 林 達也 ( @lef ) 所属 株式会社レピダム 代表取締役 https://lepidum.co.jp/ OpenIDファウンデーション ジャパン プロデューサー Identity Conference( #idcon ) Internet Society Japan Chapter プログラム委員(2013) 業務領域 標準化支援 認証・認可, アイデン ティティ、プライバシー ソフトウェアセキュリティ, 脆弱性 ネットワーク技術 プログラミング言語処理 系
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
"認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Token Token とは? 「硬貨(coin)の代わりに用いられる代用貨幣のこと。」 http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 Bearer Token とは? http://idmlab.eidentity.jp/2013/09/bearer-token.html " ということで、崎村さんによる解説です。 Bearer は「持参人払い」から来ている ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」 つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である 例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である " Access Token とは? "Access tokens are credentials used to access protected resources." (RFC6749) Credentials とは? -> 証明, 資格 Credit とは? -> 信頼, 信用
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
AuthNとAuthZ AutheNtication(認証)とAuthoriZation(認可) は別のもの! 混乱の原因例 OAuth2.0はOAuthZです!(認可) OpenID ConnectはAuthNです(認証)
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
OAuth2.0 Web Authorization Protocol Webで使われる認可の為のフレームワーク RFC6749 "The OAuth 2.0 Authorization Framework" RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage" 現在はトークンのフォーマットや 周辺エンドポイント等の議論中
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Webにおける 次世代の認証技術 OAuth2.0ベース 旧来のOpenID 2.0とは 別物 Second Implementer’s Drafts Approved! OpenID Connect
None
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Next Identity Technology UMA (User-Managed Access) IETFで標準化予定 http://kantarainitiative.org/confluence/ display/uma/Home Account Chooser http://ac.openid.net/ http://accountchooser.com/ Google等で一部試験的に公開中 HTTP Authentication HTTP層の認証を実用可能なものに IETFで標準化中 Mutual, HOBA, SCRAM FIDO Alliance Forget Passwords! http://www.fidoalliance.org/
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
WebPayments W3C WebPayments Community Group Working Groupではない Webの課金の標準化を目指している Use Cases Proximity payments Remote payments Peer to Peer payments 3つのML public-webpayments public-webpayments-contrib (0通) internal-webpayments (-) PaySwarm 元になった提案
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Secure Elements API System Applications Working Group Secure Elements(?) Smart card SIM/UICC card Smart/Secure microSD cards Embedded Secure Elements Android Key Store? (in Android 4.3) iOS Keychain Services? (in iOS 2.0) in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Really? / in real world...
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Join us! 少しでも世界を変えたい 仲間を募集しています! フォーラム標準化活動 Digital Identity / 認証・認可 Software Security / Internet Security ネットワークソフトウェア Software Defined Network Wi-Fi 言語処理系 etc...