Upgrade to Pro — share decks privately, control downloads, hide ads and more …

認証認可のメカニズム(概論)

onoder
October 01, 2020
Programming
0
8

 認証認可のメカニズム(概論)

onoder

October 01, 2020
Tweet

More Decks by onoder

See All by onoder
グローバル開発コラボレーション
onoder
0
330
開発内製化/AI・データ活用/技術的負債/etc.
onoder
0
25
顧客ドリブンで進める物流MaaSテック
onoder
0
910
DevOps(概論)
onoder
0
14

Other Decks in Programming

See All in Programming
データカタログ運用物語 〜令和6年夏の理想と現実〜
kuro_kurorrr
0
110
CSC307 Lecture 14
javiergs
PRO
0
220
ドメイン駆動設計の実践
masuda220
PRO
19
5.2k
日付と正規化
megmogmog1965
0
140
なぜ宣言的 UI は壊れにくいのか / Why declarative UI is less fragile
uenitty
29
13k
CSC307 Lecture 08
javiergs
PRO
0
330
「2024年版 Kotlin サーバーサイドプログラミング実践開発」の補講 〜O/Rマッパー編〜
n_takehata
2
260
CSC307 Lecture 12
javiergs
PRO
0
220
AHC035解説
terryu16
0
730
Composing an API the *right* way (Droidcon Berlin 2024)
zsmb
1
450
TiDB Serverless ~理想のServerless DBを考える~
soso_15315
1
160
Introduction of Happy Eyeballs Version 2 (RFC8305) to the Socket library
coe401_
1
220

Featured

See All Featured
The Illustrated Children's Guide to Kubernetes
chrisshort
39
47k
What's new in Ruby 2.0
geeforr
338
31k
Speed Design
sergeychernyshev
9
270
Infographics Made Easy
chrislema
238
18k
Learning to Love Humans: Emotional Interface Design
aarron
269
39k
GraphQLとの向き合い方2022年版
quramy
36
13k
10 Git Anti Patterns You Should be Aware of
lemiorhan
652
58k
The Invisible Customer
myddelton
117
13k
Building an army of robots
kneath
301
42k
The Invisible Side of Design
smashingmag
294
50k
How To Stay Up To Date on Web Technology
chriscoyier
784
250k
Code Review Best Practice
trishagee
58
16k

Transcript

  1. 認証認可のメカニズム (概論) onodera

  2. 認証 認可

  3. 認証 認可 Authorization (AuthZ) Authentication (AuthN)

  4. 認証 認可 Authorization (AuthZ) Authentication (AuthN) 相手が誰(何)であるかを確認すること 特定の属性に対して、リソースアクセスの権限 を与えること

  5. 認証 認可 Authorization (AuthZ) Authentication (AuthN) 相手が誰(何)であるかを確認すること 特定の属性に対して、リソースアクセスの権限 を与えること 401

    Unauthorized - 認証の失敗 -The request requires user authentication.- (RFC 2616) 403 Forbidden - - 認可の不足 -The server understood the request.- (RFC 2616)

  6. 認証 認可 Authorization (AuthZ) Authentication (AuthN) 相手が誰(何)であるかを確認すること 特定の属性に対して、リソースアクセスの権限 を与えること <関心事>

    誰であるか <関心事> どういう人であるか 401 Unauthorized - 認証の失敗 -The request requires user authentication.- (RFC 2616) 403 Forbidden - - 認可の不足 -The server understood the request.- (RFC 2616)

  7. 認証 認可 ・身分証明証による「本人確認」 ・コンビニでお酒を買うとき身分証を提示 の例 の例 ・生体認証 ・iPhoneのFaceID ・学生割引を受けるために、学生証を提示 ・駅で切符を買って電車に乗る

  8. 認証 認可 ・身分証明証による「本人確認」 ・コンビニでお酒を買うとき身分証を提示 の例 の例 ・生体認証 ・iPhoneのFaceID ・学生割引を受けるために、学生証を提示 ・駅で切符を買って電車に乗る

    ・認証に基づかない認可

  9. 認証 認可 ・身分証明証による「本人確認」 ・コンビニでお酒を買うとき身分証を提示 の例 の例 ・生体認証 ・iPhoneのFaceID ・学生割引を受けるために、学生証を提示 ・駅で切符を買って電車に乗る

    ・認証に基づかない認可

  10. 認証 認可 ・身分証明証による「本人確認」 ・コンビニでお酒を買うとき身分証を提示 の例 の例 ・生体認証 ・iPhoneのFaceID ・学生割引を受けるために、学生証を提示 ・駅で切符を買って電車に乗る

    運転免許 ・認証に基づく認可 ・認証に基づかない認可

  11. 認可のためのフレームワーク(概論)

  12. 認可のためのフレームワーク(概論)

  13. 認可のためのフレームワーク(概論)

  14. 認可のためのフレームワーク(概論)

  15. 認可のためのフレームワーク (OAuth) FYI: RFC 6749 - The OAuth 2.0 Authorization

    Framework 日本語訳 https://tex2e.github.io/rfc-translater/html/rfc6749.html

  16. トークンのタイプ (OAuth) アクセストークン

  17. トークンのタイプ (OAuth) アクセストークン と リフレッシュトークン

  18. トークンの形式 - JSON Web Token JWT (JSON Web Token)のメリット FYI:

    Introduction to JSON Web Tokens https://jwt.io/introduction/ ・Tokenに含まれる電子署名により改ざんを防止できる ・URL Safe(URLに含むことができる文字だけで構成されているから、HTTPリクエストでの 取り扱いが楽) ・実装が容易で比較的セキュア JWT の構造 ・base64urlencode(header) + "." + base64urlencode(payload) + "." + base64urlencode(digitalsignature(header + payload))

  19. ご清聴ありがとうございました