Upgrade to Pro — share decks privately, control downloads, hide ads and more …

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

Avatar for HAYASHI, Tatsuya ( @lef ) HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
4
880

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

「第42回 HTML5とか勉強会」 2013/9/25 ( http://atnd.org/events/43538 ) 発表資料 #html5j

Avatar for HAYASHI, Tatsuya ( @lef )

HAYASHI, Tatsuya ( @lef )

September 25, 2013
Tweet

More Decks by HAYASHI, Tatsuya ( @lef )

See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
Avatar for HAYASHI, Tatsuya ( @lef ) lef
2
1.4k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
1
920
APP + RAI Area Update: HTTP-related WG Report (IETF92)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
420
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
170
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
130
IETF/W3C/etc De-facto STD Overview (in My Case)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
77
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
80
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
340
Online Identity Workshop Vol. 1
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
100

Other Decks in Technology

See All in Technology
振り返りTransit Gateway ~VPCをいい感じでつなげるために~
Avatar for モブエンジニア(Masaki Okuda) masakiokuda
4
220
DATA+AI SummitとSnowflake Summit: ユーザから見た共通点と相違点 / DATA+AI Summit and Snowflake Summit
Avatar for NTT docomo Business nttcom
0
140
Shadow DOMとセキュリティ - 光と影の境界を探る / Shibuya.XSS techtalk #13
Avatar for Masato Kinugawa masatokinugawa
0
240
Deep Security Conference 2025:生成AI時代のセキュリティ監視 /dsc2025-genai-secmon
Avatar for Masayoshi Mizutani mizutani
5
3.8k
室長の逆襲 :データ活用の陣地を増やすためのヒント
Avatar for 阿部 昌利 masatoshi0205
0
150
Contract One Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
0
7k
公開初日に Gemini CLI を試した話や FFmpeg と組み合わせてみた話など / Gemini CLI 初学者勉強会(#AI道場)
Avatar for you(@youtoy) you
PRO
0
1.6k
Four Keysから始める信頼性の改善 - SRE NEXT 2025
Avatar for ozaki-kota ozakikota
0
470
BEYOND THE RAG🚀 ~とりあえずRAG?を超えていけ! 本当に使えるAIエージェント&生成AIプロダクトを目指して~ / BEYOND-THE-RAG-Toward Practical-GenerativeAI-Products-AOAI-DevDay-2025
Avatar for Junya Miyake jnymyk
4
200
データ駆動経営の道しるべ:プロダクト開発指標の戦略的活用法
Avatar for ham ham0215
2
210
AWS 怖い話 WAF編 @fillz_noh #AWSStartup #AWSStartup_Kansai
Avatar for Yusuke WADA fillznoh
0
140
データ戦略部門 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k

Featured

See All Featured
Connecting the Dots Between Site Speed, User Experience & Your Business [WebExpo 2025]
Avatar for Tammy Everts tammyeverts
8
360
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
51
3.3k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
Art, The Web, and Tiny UX
Avatar for Lynn Fisher lynnandtonic
300
21k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
55
5.7k
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
130
19k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
235
140k
Code Review Best Practice
Avatar for Trisha Gee trishagee
69
19k
Building Applications with DynamoDB
Avatar for Matt Wood mza
95
6.5k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
278
23k

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

    課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25

  2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    自己紹介  名前  林 達也 ( @lef )  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーション ジャパン プロデューサー  Identity Conference( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデン ティティ、プライバシー  ソフトウェアセキュリティ, 脆弱性  ネットワーク技術  プログラミング言語処理 系

  3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    "認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ

  4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Token  Token とは?  「硬貨(coin)の代わりに用いられる代用貨幣のこと。」  http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3  Bearer Token とは?  http://idmlab.eidentity.jp/2013/09/bearer-token.html  " ということで、崎村さんによる解説です。  Bearer は「持参人払い」から来ている  ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」  つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である  例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である "  Access Token とは?  "Access tokens are credentials used to access protected resources." (RFC6749)  Credentials とは? -> 証明, 資格  Credit とは? -> 信頼, 信用

  5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    AuthNとAuthZ  AutheNtication(認証)とAuthoriZation(認可) は別のもの!  混乱の原因例  OAuth2.0はOAuthZです!(認可)  OpenID ConnectはAuthNです(認証)

  6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    OAuth2.0  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在はトークンのフォーマットや 周辺エンドポイント等の議論中

  7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

     Webにおける 次世代の認証技術  OAuth2.0ベース  旧来のOpenID 2.0とは 別物  Second Implementer’s Drafts Approved! OpenID Connect
  8. None

  9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Next Identity Technology  UMA (User-Managed Access)  IETFで標準化予定  http://kantarainitiative.org/confluence/ display/uma/Home  Account Chooser  http://ac.openid.net/  http://accountchooser.com/  Google等で一部試験的に公開中  HTTP Authentication  HTTP層の認証を実用可能なものに  IETFで標準化中  Mutual, HOBA, SCRAM  FIDO Alliance  Forget Passwords!  http://www.fidoalliance.org/

  10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    WebPayments  W3C WebPayments Community Group  Working Groupではない  Webの課金の標準化を目指している  Use Cases  Proximity payments  Remote payments  Peer to Peer payments  3つのML  public-webpayments  public-webpayments-contrib (0通)  internal-webpayments (-)  PaySwarm  元になった提案

  11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Secure Elements API  System Applications Working Group  Secure Elements(?)  Smart card  SIM/UICC card  Smart/Secure microSD cards  Embedded Secure Elements  Android Key Store? (in Android 4.3)  iOS Keychain Services? (in iOS 2.0)  in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html

  12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Really? / in real world...

  13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!

  14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Join us!  少しでも世界を変えたい 仲間を募集しています!  フォーラム標準化活動  Digital Identity / 認証・認可  Software Security / Internet Security  ネットワークソフトウェア  Software Defined Network  Wi-Fi  言語処理系  etc...