Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Webアプリ開発者向け パスキー対応の始め方

Sponsored · Ship Features Fearlessly Turn features on and off without deploys. Used by thousands of Ruby developers.
Avatar for ritou ritou
November 15, 2023
Technology
4
6.8k

Webアプリ開発者向け パスキー対応の始め方

PWA Night vol.57 ~認証・認可〜の発表資料です。
https://pwanight.connpass.com/event/300275/

Avatar for ritou

ritou

November 15, 2023
Tweet

More Decks by ritou

See All by ritou
[PR] はじめてのデジタルアイデンティティという本を書きました
Avatar for ritou ritou
1
860
“パスワードレス認証への道" ユーザー認証の変遷とパスキーの関係
Avatar for ritou ritou
2
6k
パスキー導入の課題と ベストプラクティス、今後の展望
Avatar for ritou ritou
12
7k
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 + α
Avatar for ritou ritou
1
150
Password-less Journey - パスキーへの移行を見据えたユーザーの準備 @ AXIES 2024
Avatar for ritou ritou
4
1.8k
OIDF-J EIWG 振り返り
Avatar for ritou ritou
2
88
そのQRコード、安全ですか? / Cross Device Flow
Avatar for ritou ritou
4
630
MIXI Mと社内外のサービスを支える認証基盤を作るためにやってきたこと #MTDC2024
Avatar for ritou ritou
3
770
Passkeys and Identity Federation @ OpenID Summit Tokyo 2024
Avatar for ritou ritou
2
960

Other Decks in Technology

See All in Technology
KubeCon + CloudNativeCon NA ‘25 Recap, Extensibility: Gateway API / NRI
Avatar for Aya (Igarashi) Ozawa ladicle
0
170
月間数億レコードのアクセスログ基盤を無停止・低コストでAWS移行せよ!アプリケーションエンジニアのSREチャレンジ💪
Avatar for miyamu miyamu
0
670
AI時代、1年目エンジニアの悩み
Avatar for JINYOUNG KIM jin4
1
140
2026年はチャンキングを極める!
Avatar for shibuiwilliam shibuiwilliam
8
1.8k
All About Sansan – for New Global Engineers
Avatar for Sansan, Inc. sansan33
PRO
1
1.3k
クレジットカード決済基盤を支えるSRE - 厳格な監査とSRE運用の両立 (SRE Kaigi 2026)
Avatar for capytan capytan
6
1.8k
Amazon ElastiCacheのコスト最適化を考える/Elasticache Cost Optimization
Avatar for quiver quiver
0
370
SREのプラクティスを用いた3領域同時 マネジメントへの挑戦 〜SRE・情シス・セキュリティを統合した チーム運営術〜
Avatar for coconala_engineer coconala_engineer
1
470
レガシー共有バッチ基盤への挑戦 - SREドリブンなリアーキテクチャリングの取り組み
Avatar for Konishi tatsuhiro tatsukoni
0
170
usermode linux without MMU - fosdem2026 kernel devroom
Avatar for Hajime Tazaki thehajime
0
190
15 years with Rails and DDD (AI Edition)
Avatar for Andrzej Krzywda andrzejkrzywda
0
140
Kubecon NA 2025: DRA 関連の Recap と社内 GPU 基盤での課題
Avatar for Yohei Kevin Namba kevin_namba
0
110

Featured

See All Featured
Music & Morning Musume
Avatar for Bryan Veloso bryan
47
7.1k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
Avatar for Sam Stephenson sstephenson
162
16k
We Analyzed 250 Million AI Search Results: Here's What I Found
Avatar for Josh Blyskal joshbly
1
630
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
140k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
1.9k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
Avoiding the “Bad Training, Faster” Trap in the Age of AI
Avatar for Mike Taylor tmiket
0
67
How to build an LLM SEO readiness audit: a practical framework
Avatar for Nick Samuel nmsamuel
1
630
Speed Design
Avatar for Sergey Chernyshev sergeychernyshev
33
1.5k
Sam Torres - BigQuery for SEOs
Avatar for Tech SEO Connect techseoconnect
PRO
0
170
Designing Experiences People Love
Avatar for Jonathan Moore moore
144
24k
AI: The stuff that nobody shows you
Avatar for John Nunemaker jnunemaker
PRO
2
230

Transcript

  1. WebΞϓϦ։ൃऀ޲͚ ύεΩʔରԠͷ࢝Ίํ Getting Started with Passkeys for Web App Developers

    @ritou 2023/11/15 PWA Night vol.57 ʙೝূɾೝՄʙ

  2. Ryo Ito (@ritou) • גࣜձࣾ MIXI - ΤϯδχΞ • OpenID

    ϑΝ΢ϯσʔγϣϯɾδϟύϯ - ΤόϯδΣϦετ 2

  3. ຊ೔ͷ಺༰ • ύεΩʔͷ֓ཁ • WebΞϓϦέʔγϣϯ΁ͷಋೖ • ϩάΠϯUI/UXͷ঺հ 3

  4. ύεΩʔ֓ཁ 4

  5. ύεΩʔೝূͱ͸ • ʮύεϫʔυ͕ෆཁͳೝূํࣜʯ • FIDOΞϥΠΞϯεͱW3C͕࢓༷ࡦఆɺApple/Google/Microsoft͕ ରԠΛද໌ • ެ։伴҉߸ʹΑΔ҆શੑɺ୺຤ͷੜମೝূͳͲΛ༻͍ͨརศੑΛಛ௃ ͱ͠ɺΫϨσϯγϟϧ͸ෳ਺ͷ୺຤ؒͰಉظՄೳ •

    ϑΟογϯά଱ੑΛ࣋ͪɺ୯ମͰMFAΛ࣮ݱՄೳ 5

  6. ύεΩʔීٴͷྲྀΕ 1. ϓϥοτϑΥʔϜɺϒϥ΢β͕ύεΩʔೝূʹରԠ • WebAuthn APIͷαϙʔτɺύεϫʔυϚωʔδϟʔ΁ͷอଘ 2. αʔϏε͕ύεΩʔೝূʹରԠ <- ΠϚίί

    3. Ϣʔβʔ͕ར༻ ϓϥΫςΟεෆ଍ͷͨΊʹɺ։ൃऀࣗମ΋ύεΩʔೝূΛར༻ͯ͠ཧղ ͢Δඞཁ͕͋Δͷ͕ݱঢ় 6

  7. ύεΩʔීٴͷྲྀΕ 1. ϓϥοτϑΥʔϜɺϒϥ΢β͕ύεΩʔೝূʹରԠ • WebAuthn APIͷαϙʔτɺύεϫʔυϚωʔδϟʔ΁ͷอଘ 2. αʔϏε͕ύεΩʔೝূʹରԠ <- ΠϚίί

    3. Ϣʔβʔ͕ར༻ ϓϥΫςΟεෆ଍ͷͨΊʹɺ։ൃऀࣗମ΋ύεΩʔೝূΛར༻ͯ͠ཧղ ͢Δඞཁ͕͋Δͷ͕ݱঢ় 7

  8. WebΞϓϦέʔγϣϯ΁ͷಋೖ 8

  9. ύεϫʔυϨε΁ͷಓ 1. ύεϫʔυೝূʹ2FAΛ௥Ճ 2. طଘͷೝূํࣜʹύεΩʔೝূΛ௥Ճͯ͠ར༻ଅਐ <- ΠϚίί 3. ΞΧ΢ϯτొ࿥࣌ͷύεΩʔొ࿥ɺύεϫʔυೝূΛແޮԽ ʮύεΩʔʹରԠͯ͠΋ύεϫʔυΛແޮʹͰ͖ͳ͍ͳΒҙຯͳ͍ʯͱ

    ͍͏Α͏ʹɺظ଴͕ݱঢ়Λ௒͑ͯ͠·͏͜ͱ΋͋Δɻ 9

  10. ύεΩʔରԠͷجຊ : ύεΩʔ؅ཧ + ϩάΠϯ • ύεΩʔ؅ཧ • ొ࿥ɺߋ৽(໊લ)ɺ࡟আ •

    ଞαʔϏεΛࢀߟʹͰ͖Δ෦෼͕ଟ͍ • ϩάΠϯ • طଘͷೝূํࣜʹύεΩʔೝূΛ௥Ճ • ͍͔ͭ͘ͷ࣮૷ύλʔϯ͕͋ΔͷͰɺUI/UXઃܭ͕ॏཁ 10

  11. ϩάΠϯUI/UXͷ঺հ 11

  12. 1. Identi fi er First 12

  13. ࠷ॳʹϢʔβʔࣝผࢠΛೖྗ͢Δύλʔϯ (Google, AmazonͳͲ) 13

  14. Googleɿొ࿥ঢ়گɺ؀ڥ͔ΒαʔϏε͕൑அ͠ ͯύεΩʔೝূΛཁٻ 14

  15. Amazonɿ ύεΩʔొ࿥ࡁΈϢʔβʔʹϘλϯ Λදࣔ͠ɺબ୒ͤ͞Δ 15

  16. Identi fi er Firstύλʔϯ • FIDOೝূ౰ॳ͔Β͋ͬͨUI/UX • ύεΩʔొ࿥ࡁΈͷϢʔβʔʹରͯ͠ύεΩʔೝূΛཁٻՄೳ • ͦͷϢʔβʔ༻ͷύεΩʔʹݶఆͰ͖Δ

    • ొ࿥ࡁΈͷύεΩʔ͕શͯͷ؀ڥͰ࢖͑Δͱ͸ݶΒͳ͍ • Ϣʔβʔʹબ୒ΛҕͶΔͱεςοϓ͕૿͑Δ 16

  17. 2.Usernameless 17

  18. ʮύεΩʔͰϩάΠϯʯϘλϯ

  19. Usernamelessύλʔϯ • Ϣʔβʔ৘ใͱҰॹʹೝূثʹΫϨσϯγϟϧΛอଘͰ͖ΔΑ͏ʹ ͳͬͯొ৔ͨ͠UI/UX (ηΩϡϦςΟΩʔ -> ϓϥοτϑΥʔϜೝূث) • Ϣʔβʔ͕ೳಈతʹύεΩʔೝূΛબ୒ •

    αʔϏε͸൑அ͠ͳ͍(Ϙλϯͷग़͠Θ͚ͳͲ͸͋ΓಘΔ) • ͦͷ؀ڥʹར༻ՄೳͳύεΩʔ͕͋Δͱ͸ݶΒͳ͍ • ύεΩʔΛొ࿥͍ͯ͠ͳ͍Ϣʔβʔ͕ϘλϯΛԡ͔͢΋͠Εͳ͍ 19

  20. 3.Passkey Auto fi ll 20

  21. ύεϫʔυϚωʔδϟʔͱύεΩʔೝূ • ύεΩʔೝূ͸ʮύεϫʔυϚωʔδϟʔΛར༻ͨ͠ύεϫʔυೝ ূʯΛΑΓਐԽͤͨ͞ೝূํࣜͱݴ͑Δ • ύεϫʔυϚωʔδϟʔͷར༻Λڧ੍ͤͯ͞ʮެ։伴҉߸ํࣜʯͱੜ ମೝূͳͲͷʮϩʔΧϧೝূʯΛ૊Έ߹ΘͤͨFIDOೝূΛ࣮ݱ 21

  22. Password Auto fi ll • ϒϥ΢β΍ύεϫʔυϚωʔδϟʔʹґଘ • υϝΠϯ൑ఆ • autocompleteଐੑͷѻ͍

    • બ୒ޙͷϢʔβʔΞΫγϣϯ • ϑΟογϯά଱ੑͷൈ͚݀ • खಈͷίϐϖ͕Մೳ • ύεϫʔυϚωʔδϟʔͷར༻Λڧ੍Ͱ͖ͳ͍

  23. Passkey Auto fi ll Password Auto fi llͱಉ༷ͷUX ύεΩʔొ࿥࣌ʹαʔϏε͕ࢦఆ ର৅ͷυϝΠϯ΍originͷ஋

    ΞΧ΢ϯτ໊΍ϝʔϧΞυϨε ೝূ࣌ʹαʔϏε͕ࢦఆ ର৅ͷυϝΠϯ΍originͷ஋ ϩʔΧϧೝূ͕ඞཁ͔Ͳ͏͔ ར༻ՄೳͳύεΩʔ͕ දࣔ͞Ε͍ͯΔ

  24. Passkey Auto fi ll ໌ࣔతʹϩʔΧϧೝূΛ ཁٻͰ͖Δ

  25. Passkey Auto fi ll࠾༻αʔϏε΋૿͍͑ͯΔ (MIXI MɺϝϧΧϦɺϚγϡϚϩ…) MIXI M ύεϫʔυΛར༻ͤͣʹSMS/Email OTPΛ࠾༻

    Identi fi er FirstύλʔϯͷΑ͏ͳUI ʹ΋ద༻Մೳ

  26. ϚωʔϑΥϫʔυ ID : ύεϫʔυϚωʔδϟʔ ͷར༻Λҙࣝͨ͠UI/UX ϝʔϧΞυϨεೖྗϑΥʔϜ͔͠ݟ͑ͳ͍ ύεϫʔυΛબΜͰ΋ҰൃͰϩάΠϯՄೳ ݟ͑ͳ͍ύεϫʔυϑΥʔϜ΋”͋Δ” ύεϫʔυɺύεΩʔ྆ํͷೝূͰಉ౳ͷ UXΛఏڙ

  27. ·ͱΊ 27

  28. ·ͱΊ • ύεΩʔೝূͷಛ௃Λਖ਼͘͠ԡ͑͞Α͏ • WebΞϓϦέʔγϣϯ΁ͷಋೖʹ͓͍ͯɺ࠷௿ݶͷػೳ͸ʮύεΩʔ ؅ཧʯͱʮϩάΠϯʯ • ϩάΠϯͷUI/UX͸3छྨ͙Β͍ʹ෼ྨͰ͖Δ • ʮPasskey

    Auto fi llʯ͕Φεεϝ 28

  29. ࣭໰ɺ໰͍߹Θͤઌ ˏritou 29