Link
Embed
Share
Beginning
This slide
Copy link URL
Copy link URL
Copy iframe embed code
Copy iframe embed code
Copy javascript embed code
Copy javascript embed code
Share
Tweet
Share
Tweet
Slide 1
Slide 1 text
“車が通れるほど大きな” セキュリティーホールを抑えながら ログインしたい Kyoto Tech Talk #8 2025/5/29 京都産業大学 上村太成
Slide 2
Slide 2 text
自己紹介 • taiseiue • X: @taiseiue • taiseiue.jp • C#/PHP/JavaScript • バックエンド/プログラミング言語 • おひとり様サークル => WSOFT • wsoft.ws
Slide 3
Slide 3 text
導入 • 最近スタジオを手伝ってます スタジオふみ
Slide 4
Slide 4 text
導入 • スタジオふみで使うアプリに認証をかけたい • 備品管理アプリ • メディアサーバー • ファイルサーバー • Minecraftサーバー
Slide 5
Slide 5 text
導入 • アプリごとの認証を使う • 備品管理アプリ → NextAuth • メディアサーバー → サーバー付属のものを使う • ファイルサーバー → Active Directory • Minecraftサーバー → すべてを受け入れる
Slide 6
Slide 6 text
管理がめんどう
Slide 7
Slide 7 text
Cloudflare ZeroTrust
Slide 8
Slide 8 text
No content
Slide 9
Slide 9 text
認証 • Cloudflare Zero Trust • 特定のアプリやトラフィックに認証を掛けれる • だけじゃなくて、HTTPならリクエストヘッダにおまけがついてくる • Cf-Access-Jwt-Assertionヘッダの値をAPIに投げるとユーザー名や メールアドレスが返ってくる • SSO的なことができる
Slide 10
Slide 10 text
ログイン方法を考える
Slide 11
Slide 11 text
No content
Slide 12
Slide 12 text
No content
Slide 13
Slide 13 text
No content
Slide 14
Slide 14 text
Googleでログインする
Slide 15
Slide 15 text
No content
Slide 16
Slide 16 text
No content
Slide 17
Slide 17 text
Googleでログインの問題点 • (どういうわけか)一部の人はGoogleアカウントを複数持っている • 何にどれをつかっているか覚えていない 1Passwordにもこんな機能が
Slide 18
Slide 18 text
何のコミュニティ用に 使ってるか明確なIdP?
Slide 19
Slide 19 text
Discordやん
Slide 20
Slide 20 text
No content
Slide 21
Slide 21 text
OAuth2.0で認証?
Slide 22
Slide 22 text
https://www.sakimura.org/2012/02/1487/
Slide 23
Slide 23 text
https://www.sakimura.org/2012/02/1487/ OAuth2→OIDCを使う
Slide 24
Slide 24 text
No content
Slide 25
Slide 25 text
OpenID Connect (OIDC) • OAuth2の拡張 • OAuth2は「認可」に対してOIDCは「認証」が目的 • OAuth2のアクセストークンに加えてIDトークンを持つ
Slide 26
Slide 26 text
OpenID Connect (OIDC) • OAuth2の拡張 • OAuth2は「認可」に対してOIDCは「認証」が目的 • OAuth2のアクセストークンに加えてIDトークンを持つ OAuth2のプロキシ的なものを作り、 それが追加でIDトークンを返せばいい
Slide 27
Slide 27 text
DiscordのOAuth2.0を OIDCにプロキシする
Slide 28
Slide 28 text
https://github.com/taiseiue/discord-oidc-proxy
Slide 29
Slide 29 text
“いかにも今ドキ”を実現
Slide 30
Slide 30 text
./setup.sh && pnpx publish
Slide 31
Slide 31 text
使い方
Slide 32
Slide 32 text
No content
Slide 33
Slide 33 text
No content
Slide 34
Slide 34 text
作り方
Slide 35
Slide 35 text
No content
Slide 36
Slide 36 text
No content
Slide 37
Slide 37 text
OIDCディスカバリ
Slide 38
Slide 38 text
No content
Slide 39
Slide 39 text
No content
Slide 40
Slide 40 text
No content
Slide 41
Slide 41 text
No content
Slide 42
Slide 42 text
No content
Slide 43
Slide 43 text
No content
Slide 44
Slide 44 text
No content
Slide 45
Slide 45 text
まとめ • OP(OpenID Provider)はそこそこ簡単に作れる • OAuth2が使えるなら(理屈上)OIDCのログインが生やせる • たとえばX(Twitter)とか • Misskeyも? • 自分で認証関係のもの作るの怖いね
Slide 46
Slide 46 text
“車が通れるほど大きな” セキュリティーホールを抑えながら ログインしたい Kyoto Tech Talk #8 2025/5/29 京都産業大学 上村太成