Upgrade to Pro — share decks privately, control downloads, hide ads and more …

lightweight authenticity of microservices

088b1b43ff5dd64aa0f000da9e9da777?s=47 wtnabe
August 20, 2016
Programming
0
220

lightweight authenticity of microservices

これくらいならユーザー認証なしでやってもいいかも? みたいな割り切りの話。

088b1b43ff5dd64aa0f000da9e9da777?s=128

wtnabe

August 20, 2016
Tweet

More Decks by wtnabe

See All by wtnabe
join-kanazawarb-or-7years-passed-since-it-was-borned
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
410
let-me-edit-with-editor
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
110
google-photos-and-storage-and-rclone
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
160
one case of how to begin vuejs
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
2
260
Kanazawa.rb meetup #56 Coderetreat Intro
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
230
Automate WordPress deployment with WordMove
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
1
260
CircleCI Hands-on for Beginners
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
250
Introducing Todays CI Services
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
200
Modern UI for Office Work
088b1b43ff5dd64aa0f000da9e9da777?s=48 wtnabe
0
170

Other Decks in Programming

See All in Programming
NestJS_meetup_atamaplus
F0a8d07597a19192791bf663504d2a17?s=48 atamaplus
0
210
パラメタライズドテスト
4f8c3a1aedaf9aafd6c74ab077d9ad18?s=48 ledsun
0
220
AWS Config Custom Rule、ノーコードでできるかな?
822eaa655305fe3cffb0b034913f0cd2?s=48 watany
0
250
ふんわり理解するcontext
438799c739f93d00abc30fa2da33c543?s=48 rukiadia
1
180
段階的な技術的負債の解消方法.pdf
41e5cd2b99a8e7c84f91a8137c8be3ed?s=48 ko2ic
2
920
回帰分析ではlm()ではなくestimatr::lm_robust()を使おう / TokyoR100
7a0892afffbcbd35fd84d46508b3a914?s=48 dropout009
0
4.5k
話題の AlloyDB は本当に凄いデータベースなのでプレビューを使い倒した #devio2022
Ae763d151aeee101b40ae10cc13ebe63?s=48 maroon1st
0
13k
ファーストペンギンを志すものに伝えたい - 1人目のアジャイル推進者がたどった成功と失敗
93b2f8445b4096456c336ec2ea5dd0e7?s=48 psj59129
0
110
ESM移行は無理だけどおれもSindreのライブラリが使いたい!
208355d7af69fa84a78048f78077048a?s=48 sosukesuzuki
2
550
Untangling Coroutine Testing (Droidcon Berlin 2022)
4047c64e3a1e2f81addd4ba675ddc451?s=48 zsmb
1
480
読みやすいコード クラスメソッド 2022 年度新卒研修
E86b46be0f4e61db6b28becc5493bbab?s=48 januswel
0
2.9k
ストア評価「2.4」だったCOCOARアプリを1年で「4.4」になんとかした方法@Cloud CIRCUS Meetup #2
3518f5ec9ebb241abc3569eb5cfc7d2a?s=48 1901drama
0
180

Featured

See All Featured
Git: the NoSQL Database
20bfe76b3d6105641f879fe45cfc9272?s=48 bkeepers
PRO
415
59k
Visualization
170b760e0147792d0140e59ec78e9893?s=48 eitanlees
125
12k
Making Projects Easy
C4de88ea47538e4594750e3861a341c8?s=48 brettharned
98
4.4k
Designing with Data
F57e2136eb9895eb95ff5dc8a1c02677?s=48 zakiwarfel
91
4k
WebSockets: Embracing the real-time Web
E76911cbe088e5b850d966de3fc7435b?s=48 robhawkes
57
5.5k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Fd55de4174accaf3b4f030e43a8a70c6?s=48 marcduiker
6
570
Build The Right Thing And Hit Your Dates
016edace78ffe826f2348d1e0c504afd?s=48 maggiecrowley
19
1.2k
Web development in the modern age
465724d73fe3a92c0879fdfb43a3a6f3?s=48 philhawksworth
197
9.3k
Atom: Resistance is Futile
7fa6101cd43067653cf4ac6c7ca54305?s=48 akmur
255
20k
A Tale of Four Properties
8081b26e05bb4354f7d65ffc34cbbd67?s=48 chriscoyier
149
21k
Streamline your AJAX requests with AmplifyJS and jQuery
9cde37f47e4a800ea081ea42de8d749a?s=48 dougneiner
127
8.5k
Docker and Python
Ecdea9b9714877b86cee08458f085481?s=48 trallard
27
1.6k

Transcript

  1. インターネット越しの マイクロサービスな WebAPIの真正性設計 @wtnabe Kanazawa.rb meetup #48 2016-08-20 (Sat) at

    IT Plaza MUSASHI

  2. お品書き 真正性 今回の⽬的 メッセージ認証 今回の設計

  3. 真正性

  4. authenticity なりすましではないこと

  5. インターネット越しの通信 相⼿が誰か分からない 内容が改竄されていないか分からない

  6. 対策技術 ユーザー認証 メッセージ認証

  7. ユーザー認証 独⾃実装 既存の認証機構を利⽤ SSL証明書を利⽤する ID / password⽅式 公開鍵⽅式

  8. メッセージ認証 MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  9. ユーザー認証が重い 実装は重い パスワード管理は重い 鍵ペア管理は重い

  10. 逆に⽳になったり 独⾃実装がヘボい 管理がヘボい

  11. 今回の⽬的

  12. マイクロサービスな WebAPIアクセス

  13. 「ユーザー」は1⼈2⼈しかいないはず (やりとりの必要なサービスは当初せ いぜい1つか2つ程度だろう) ⼤げさなユーザー認証機構は必要か? ⼤げさなユーザー認証機構は必要か?

  14. もう⼀度 制約 制約 インターネット越し AWS VPCのようなゾーンはない あくまでアプリで VPN組むとかナシで

  15. メッセージ認証

  16. おおまかに MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  17. おおまかに 内容の⼀致しか分からない 鍵ペア管理が重い 共通の秘密鍵しかないので管理しやすい

  18. MACいいんじゃない?

  19. MAC 1. 共通の秘密鍵を持つ 2. 送信側 メッセージから鍵を⽤いてMACを⽣成 メッセージ本⽂とMACを送信 3. 受信側 メッセージ本⽂と秘密鍵からMACを⽣成

    受信したMACを検証

  20. メリット 鍵が漏れていなければメッセージは改竄 されていないと⾔える 鍵そのものは送らないので暗号化不要

  21. HMAC HMAC: Keyed-Hashing for Message Authentication (RFC 2104) MACを⽣成するアルゴリズムにハッシュ 関数を利⽤する

    ハッシュ関数は反復利⽤される 鍵もそのまま利⽤するわけではない

  22. 詳しくはおぐぐりください

  23. 利⽤例 AWS REST リクエストの署名と認証 - Amazon Simple Storage Service 基本的な認証のプロセス

    - Amazon Simple Queue Service SSH Protocol 2 integrity

  24. 今回の設計

  25. マイクロサービスなWebAPI

  26. 割り切り 秘密鍵を知っていることを以って相⼿を 信⽤することでユーザー認証不要に ⼆つのサービスの環境変数に同じ秘密 鍵をセットするだけでOK 公開してよい情報なら暗号化も不要

  27. 実装も楽 枯れた⼿法 (1997年 RFC 2104) 実装も普通にアリモノでOK OpenSSL::HMAC (Ruby) hash_hmac() (PHP)

  28. 事例もある SSH, AWSはデカイ

  29. インターネット越しでも HMACでお⼿軽 マイクロサービス

  30. 参考 HMAC: Keyed-Hashing for Message Authentication (RFC 2104 / IPA)