Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
Search
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
4
820
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
「第42回 HTML5とか勉強会」 2013/9/25 (
http://atnd.org/events/43538
) 発表資料 #html5j
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Tweet
Share
More Decks by HAYASHI, Tatsuya ( @lef )
See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.3k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
870
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
360
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
150
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
130
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
57
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
59
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
310
Online Identity Workshop Vol. 1
lef
0
86
Other Decks in Technology
See All in Technology
visionOSでの空間表現実装とImmersive Video表示について / ai-immersive-visionos
cyberagentdevelopers
PRO
1
100
顧客が本当に必要だったもの - パフォーマンス改善編 / Make what is needed
soudai
24
6.6k
ネット広告に未来はあるか?「3rd Party Cookie廃止とPrivacy Sandboxの効果検証の裏側」 / third-party-cookie-privacy
cyberagentdevelopers
PRO
1
120
急成長中のWINTICKETにおける品質と開発スピードと向き合ったQA戦略と今後の展望 / winticket-autify
cyberagentdevelopers
PRO
1
160
大規模データ基盤チームのオンプレTiDB運用への挑戦 / dpu-tidb
cyberagentdevelopers
PRO
1
110
IaC運用を楽にするためにCDK Pipelinesを導入したけど、思い通りにいかなかった話
smt7174
1
100
物価高なラスベガスでの過ごし方
zakky
0
320
Apple/Google/Amazonの決済システムの違いを踏まえた定期購読課金システムの構築 / abema-billing-system
cyberagentdevelopers
PRO
1
210
ガバメントクラウド単独利用方式におけるIaC活用
techniczna
3
260
AIを駆使したゲーム開発戦略: 新設AI組織の取り組み / sge-ai-strategy
cyberagentdevelopers
PRO
1
130
신뢰할 수 있는 AI 검색 엔진을 만들기 위한 Liner의 여정
huffon
0
170
Vueで Webコンポーネントを作って Reactで使う / 20241030-cloudsign-vuefes_after_night
bengo4com
4
2.5k
Featured
See All Featured
Principles of Awesome APIs and How to Build Them.
keavy
126
17k
Distributed Sagas: A Protocol for Coordinating Microservices
caitiem20
328
21k
Practical Tips for Bootstrapping Information Extraction Pipelines
honnibal
PRO
9
680
ReactJS: Keep Simple. Everything can be a component!
pedronauck
664
120k
A Tale of Four Properties
chriscoyier
156
23k
Building an army of robots
kneath
302
42k
The Art of Programming - Codeland 2020
erikaheidi
51
13k
Typedesign – Prime Four
hannesfritz
39
2.4k
RailsConf 2023
tenderlove
29
880
Happy Clients
brianwarren
97
6.7k
Designing for Performance
lara
604
68k
Optimizing for Happiness
mojombo
376
69k
Transcript
https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.
課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
自己紹介 名前 林 達也 ( @lef ) 所属 株式会社レピダム 代表取締役 https://lepidum.co.jp/ OpenIDファウンデーション ジャパン プロデューサー Identity Conference( #idcon ) Internet Society Japan Chapter プログラム委員(2013) 業務領域 標準化支援 認証・認可, アイデン ティティ、プライバシー ソフトウェアセキュリティ, 脆弱性 ネットワーク技術 プログラミング言語処理 系
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
"認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Token Token とは? 「硬貨(coin)の代わりに用いられる代用貨幣のこと。」 http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 Bearer Token とは? http://idmlab.eidentity.jp/2013/09/bearer-token.html " ということで、崎村さんによる解説です。 Bearer は「持参人払い」から来ている ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」 つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である 例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である " Access Token とは? "Access tokens are credentials used to access protected resources." (RFC6749) Credentials とは? -> 証明, 資格 Credit とは? -> 信頼, 信用
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
AuthNとAuthZ AutheNtication(認証)とAuthoriZation(認可) は別のもの! 混乱の原因例 OAuth2.0はOAuthZです!(認可) OpenID ConnectはAuthNです(認証)
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
OAuth2.0 Web Authorization Protocol Webで使われる認可の為のフレームワーク RFC6749 "The OAuth 2.0 Authorization Framework" RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage" 現在はトークンのフォーマットや 周辺エンドポイント等の議論中
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Webにおける 次世代の認証技術 OAuth2.0ベース 旧来のOpenID 2.0とは 別物 Second Implementer’s Drafts Approved! OpenID Connect
None
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Next Identity Technology UMA (User-Managed Access) IETFで標準化予定 http://kantarainitiative.org/confluence/ display/uma/Home Account Chooser http://ac.openid.net/ http://accountchooser.com/ Google等で一部試験的に公開中 HTTP Authentication HTTP層の認証を実用可能なものに IETFで標準化中 Mutual, HOBA, SCRAM FIDO Alliance Forget Passwords! http://www.fidoalliance.org/
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
WebPayments W3C WebPayments Community Group Working Groupではない Webの課金の標準化を目指している Use Cases Proximity payments Remote payments Peer to Peer payments 3つのML public-webpayments public-webpayments-contrib (0通) internal-webpayments (-) PaySwarm 元になった提案
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Secure Elements API System Applications Working Group Secure Elements(?) Smart card SIM/UICC card Smart/Secure microSD cards Embedded Secure Elements Android Key Store? (in Android 4.3) iOS Keychain Services? (in iOS 2.0) in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Really? / in real world...
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Join us! 少しでも世界を変えたい 仲間を募集しています! フォーラム標準化活動 Digital Identity / 認証・認可 Software Security / Internet Security ネットワークソフトウェア Software Defined Network Wi-Fi 言語処理系 etc...