Upgrade to Pro — share decks privately, control downloads, hide ads and more …

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for HAYASHI, Tatsuya ( @lef ) HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
920
4

課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について

「第42回 HTML5とか勉強会」 2013/9/25 ( http://atnd.org/events/43538 ) 発表資料 #html5j

Avatar for HAYASHI, Tatsuya ( @lef )

HAYASHI, Tatsuya ( @lef )

September 25, 2013

More Decks by HAYASHI, Tatsuya ( @lef )

See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
Avatar for HAYASHI, Tatsuya ( @lef ) lef
2
1.5k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
1
950
APP + RAI Area Update: HTTP-related WG Report (IETF92)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
480
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
210
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
150
IETF/W3C/etc De-facto STD Overview (in My Case)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
94
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
100
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
360
Online Identity Workshop Vol. 1
Avatar for HAYASHI, Tatsuya ( @lef ) lef
0
140

Other Decks in Technology

See All in Technology
20年前の「OSS革命」に学ぶ AI時代の生存戦略
Avatar for Sam Akada samakada
0
500
GKE Agent SandboxでAIが生成したコードを 安全に実行してみた
Avatar for Lamaglama39 lamaglama39
0
120
UIライブラリに依存しすぎないReact Native設計を目指して
Avatar for Takahiro Kato grandbig
0
150
運用システムにおけるデータ活用とPlatform
Avatar for SansanTech sansantech
PRO
0
140
ServiceNow Knowledge 26 の歩き方
Avatar for ServiceNow Japan Meetup manarobot
0
240
AIでAIをテストする - 音声AIエージェントの品質保証戦略
Avatar for Morix morix1500
1
150
Do Vibe Coding ao LLM em Produção para Busca Agêntica - TDC 2026 - Summit IA - São Paulo
Avatar for Jessica Pauli de C Bonson jpbonson
3
160
Good Enough Types: Heuristic Type Inference for Ruby
Avatar for Shia riseshia
1
330
AI時代における技術的負債への取り組み
Avatar for Tadashi Shigeoka codenote
1
1.8k
AI活用時代の事業判断高度化を導くエンジニアリング基盤 / 20260424 Atsushi Funahashi
Avatar for SHIFT EVOLVE shift_evolve
PRO
2
100
AIが自律的に働く時代へ Amazon Quick で実現するAIエージェント紹介
Avatar for こーへい koheiyoshikawa
0
140
Practical TypeProf: Lessons from Analyzing Optcarrot
Avatar for Yusuke Endoh mame
0
1.3k

Featured

See All Featured
How to Talk to Developers About Accessibility
Avatar for Jason CranfordTeague jct
2
180
Unsuck your backbone
Avatar for Amy Palamountain ammeep
672
58k
WCS-LA-2024
Avatar for Leonardo Collado-Torres lcolladotor
0
550
Game over? The fight for quality and originality in the time of robots
Avatar for Wayne Barker wayneb77
1
160
Redefining SEO in the New Era of Traffic Generation
Avatar for Szymon Słowik szymonslowik
1
280
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.5k
Abbi's Birthday
Avatar for Violet Bock coloredviolet
2
7.3k
How to Align SEO within the Product Triangle To Get 
Buy-In & Support - #RIMC
Avatar for Aleyda Solis aleyda
2
1.5k
Building Experiences: Design Systems, User Experience, and Full Site Editing
Avatar for Michelle Schulp Hunt marktimemedia
0
490
Reflections from 52 weeks, 52 projects
Avatar for Jefferson Lam jeffersonlam
356
21k
Un-Boring Meetings
Avatar for Sebastian Deterding codingconduct
0
270
Neural Spatial Audio Processing for Sound Field Analysis and Control
Avatar for NII S. Koyama's Lab skoyamalab
0
270

Transcript

  1. https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.

    課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25

  2. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    自己紹介  名前  林 達也 ( @lef )  所属  株式会社レピダム 代表取締役  https://lepidum.co.jp/  OpenIDファウンデーション ジャパン プロデューサー  Identity Conference( #idcon )  Internet Society Japan Chapter プログラム委員(2013)  業務領域  標準化支援  認証・認可, アイデン ティティ、プライバシー  ソフトウェアセキュリティ, 脆弱性  ネットワーク技術  プログラミング言語処理 系

  3. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    "認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ

  4. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Token  Token とは?  「硬貨(coin)の代わりに用いられる代用貨幣のこと。」  http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3  Bearer Token とは?  http://idmlab.eidentity.jp/2013/09/bearer-token.html  " ということで、崎村さんによる解説です。  Bearer は「持参人払い」から来ている  ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」  つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である  例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である "  Access Token とは?  "Access tokens are credentials used to access protected resources." (RFC6749)  Credentials とは? -> 証明, 資格  Credit とは? -> 信頼, 信用

  5. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    AuthNとAuthZ  AutheNtication(認証)とAuthoriZation(認可) は別のもの!  混乱の原因例  OAuth2.0はOAuthZです!(認可)  OpenID ConnectはAuthNです(認証)

  6. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    OAuth2.0  Web Authorization Protocol  Webで使われる認可の為のフレームワーク  RFC6749 "The OAuth 2.0 Authorization Framework"  RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage"  現在はトークンのフォーマットや 周辺エンドポイント等の議論中

  7. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

     Webにおける 次世代の認証技術  OAuth2.0ベース  旧来のOpenID 2.0とは 別物  Second Implementer’s Drafts Approved! OpenID Connect
  8. None

  9. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Next Identity Technology  UMA (User-Managed Access)  IETFで標準化予定  http://kantarainitiative.org/confluence/ display/uma/Home  Account Chooser  http://ac.openid.net/  http://accountchooser.com/  Google等で一部試験的に公開中  HTTP Authentication  HTTP層の認証を実用可能なものに  IETFで標準化中  Mutual, HOBA, SCRAM  FIDO Alliance  Forget Passwords!  http://www.fidoalliance.org/

  10. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    WebPayments  W3C WebPayments Community Group  Working Groupではない  Webの課金の標準化を目指している  Use Cases  Proximity payments  Remote payments  Peer to Peer payments  3つのML  public-webpayments  public-webpayments-contrib (0通)  internal-webpayments (-)  PaySwarm  元になった提案

  11. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Secure Elements API  System Applications Working Group  Secure Elements(?)  Smart card  SIM/UICC card  Smart/Secure microSD cards  Embedded Secure Elements  Android Key Store? (in Android 4.3)  iOS Keychain Services? (in iOS 2.0)  in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html

  12. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Really? / in real world...

  13. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!

  14. Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/

    Join us!  少しでも世界を変えたい 仲間を募集しています!  フォーラム標準化活動  Digital Identity / 認証・認可  Software Security / Internet Security  ネットワークソフトウェア  Software Defined Network  Wi-Fi  言語処理系  etc...