Upgrade to Pro — share decks privately, control downloads, hide ads and more …

認証認可のメカニズム(概論)

onoder
October 01, 2020

 認証認可のメカニズム(概論)

onoder

October 01, 2020
Tweet

More Decks by onoder

Other Decks in Programming

Transcript

  1. 認証 認可 Authorization (AuthZ) Authentication (AuthN) 相手が誰(何)であるかを確認すること 特定の属性に対して、リソースアクセスの権限 を与えること 401

    Unauthorized - 認証の失敗 -The request requires user authentication.- (RFC 2616) 403 Forbidden - - 認可の不足 -The server understood the request.- (RFC 2616)
  2. 認証 認可 Authorization (AuthZ) Authentication (AuthN) 相手が誰(何)であるかを確認すること 特定の属性に対して、リソースアクセスの権限 を与えること <関心事>

    誰であるか <関心事> どういう人であるか 401 Unauthorized - 認証の失敗 -The request requires user authentication.- (RFC 2616) 403 Forbidden - - 認可の不足 -The server understood the request.- (RFC 2616)
  3. 認可のためのフレームワーク (OAuth) FYI: RFC 6749 - The OAuth 2.0 Authorization

    Framework 日本語訳 https://tex2e.github.io/rfc-translater/html/rfc6749.html
  4. トークンの形式 - JSON Web Token JWT (JSON Web Token)のメリット FYI:

    Introduction to JSON Web Tokens https://jwt.io/introduction/ ・Tokenに含まれる電子署名により改ざんを防止できる ・URL Safe(URLに含むことができる文字だけで構成されているから、HTTPリクエストでの 取り扱いが楽) ・実装が容易で比較的セキュア JWT の構造 ・base64urlencode(header) + "." + base64urlencode(payload) + "." + base64urlencode(digitalsignature(header + payload))