Upgrade to Pro — share decks privately, control downloads, hide ads and more …

lightweight authenticity of microservices

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for wtnabe wtnabe
August 20, 2016
Programming
0
480

lightweight authenticity of microservices

これくらいならユーザー認証なしでやってもいいかも? みたいな割り切りの話。

Avatar for wtnabe

wtnabe

August 20, 2016
Tweet

More Decks by wtnabe

See All by wtnabe
Rubyでもモノリポしたい - 調査、おわわり編 -
Avatar for wtnabe wtnabe
0
26
Ruby de Railway Oriented Programming
Avatar for wtnabe wtnabe
0
57
Bindanのススメ
Avatar for wtnabe wtnabe
0
38
そのオブジェクト、何を保証してくれますか? - GuideRailのススメ -
Avatar for wtnabe wtnabe
0
51
Effective Jekyll
Avatar for wtnabe wtnabe
0
80
5 min Jekyll/Liquid Plugin cooking
Avatar for wtnabe wtnabe
0
45
Ruby de Wasm
Avatar for wtnabe wtnabe
0
75
Cloud Native Buildpacksって結局どうなの?
Avatar for wtnabe wtnabe
0
61
Decoupled System with Turbo Frame
Avatar for wtnabe wtnabe
1
150

Other Decks in Programming

See All in Programming
CSC307 Lecture 06
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
680
副作用をどこに置くか問題:オブジェクト指向で整理する設計判断ツリー
Avatar for Koya Masuda koxya
1
590
CSC307 Lecture 07
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
550
登壇資料を作る時に意識していること #登壇資料_findy
Avatar for konifar konifar
3
810
組織で育むオブザーバビリティ
Avatar for ryotaro kobayashi ryota_hnk
0
170
プロダクトオーナーから見たSOC2 _SOC2ゆるミートアップ#2
Avatar for Kenta Suzuki kekekenta
0
200
16年目のピクシブ百科事典を支える最新の技術基盤 / The Modern Tech Stack Powering Pixiv Encyclopedia in its 16th Year
Avatar for ahu ahuglajbclajep
5
990
20260127_試行錯誤の結晶を1冊に。著者が解説 先輩データサイエンティストからの指南書 / author's_commentary_ds_instructions_guide
Avatar for nash_efp nash_efp
0
890
AI Agent Tool のためのバックエンドアーキテクチャを考える #encraft
Avatar for izumin5210 izumin5210
6
1.8k
Automatic Grammar Agreementと Markdown Extended Attributes
について
Avatar for Kishikawa Katsumi kishikawakatsumi
0
180
疑似コードによるプロンプト記述、どのくらい正確に実行される?
Avatar for kokuyouwind kokuyouwind
0
380
開発者から情シスまで - 多様なユーザー層に届けるAPI提供戦略 / Postman API Night Okinawa 2026 Winter
Avatar for tasshi tasshi
0
190

Featured

See All Featured
The Language of Interfaces
Avatar for Des Traynor destraynor
162
26k
A Modern Web Designer's Workflow
Avatar for Chris Coyier chriscoyier
698
190k
Collaborative Software Design: How to facilitate domain modelling decisions
Avatar for Kenny Baas-Schwegler baasie
0
130
SERP Conf. Vienna - Web Accessibility: Optimizing for Inclusivity and SEO
Avatar for Sara Fernández Carmona sarafernandez
1
1.3k
Chrome DevTools: State of the Union 2024 - Debugging React & Beyond
Avatar for Addy Osmani addyosmani
10
1.1k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
170
The Organizational Zoo: Understanding Human Behavior Agility Through Metaphoric Constructive Conversations (based on the works of Arthur Shelley, Ph.D)
Avatar for Dr. Kim W Petersen kimpetersen
PRO
0
230
The MySQL Ecosystem @ GitHub 2015
Avatar for Sam Lambert samlambert
251
13k
The B2B funnel & how to create a winning content strategy
Avatar for Katarina Dahlin katarinadahlin
PRO
0
270
Digital Projects Gone Horribly Wrong (And the UX Pros Who Still Save the Day) - Dean Schuster
Avatar for UX Y'all uxyall
0
290
Six Lessons from altMBA
Avatar for Skipper Chong Warson skipperchong
29
4.1k
AI Search: Implications for SEO and How to Move Forward - #ShenzhenSEOConference
Avatar for Aleyda Solis aleyda
1
1.1k

Transcript

  1. インターネット越しの マイクロサービスな WebAPIの真正性設計 @wtnabe Kanazawa.rb meetup #48 2016-08-20 (Sat) at

    IT Plaza MUSASHI

  2. お品書き 真正性 今回の⽬的 メッセージ認証 今回の設計

  3. 真正性

  4. authenticity なりすましではないこと

  5. インターネット越しの通信 相⼿が誰か分からない 内容が改竄されていないか分からない

  6. 対策技術 ユーザー認証 メッセージ認証

  7. ユーザー認証 独⾃実装 既存の認証機構を利⽤ SSL証明書を利⽤する ID / password⽅式 公開鍵⽅式

  8. メッセージ認証 MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  9. ユーザー認証が重い 実装は重い パスワード管理は重い 鍵ペア管理は重い

  10. 逆に⽳になったり 独⾃実装がヘボい 管理がヘボい

  11. 今回の⽬的

  12. マイクロサービスな WebAPIアクセス

  13. 「ユーザー」は1⼈2⼈しかいないはず (やりとりの必要なサービスは当初せ いぜい1つか2つ程度だろう) ⼤げさなユーザー認証機構は必要か? ⼤げさなユーザー認証機構は必要か?

  14. もう⼀度 制約 制約 インターネット越し AWS VPCのようなゾーンはない あくまでアプリで VPN組むとかナシで

  15. メッセージ認証

  16. おおまかに MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  17. おおまかに 内容の⼀致しか分からない 鍵ペア管理が重い 共通の秘密鍵しかないので管理しやすい

  18. MACいいんじゃない?

  19. MAC 1. 共通の秘密鍵を持つ 2. 送信側 メッセージから鍵を⽤いてMACを⽣成 メッセージ本⽂とMACを送信 3. 受信側 メッセージ本⽂と秘密鍵からMACを⽣成

    受信したMACを検証

  20. メリット 鍵が漏れていなければメッセージは改竄 されていないと⾔える 鍵そのものは送らないので暗号化不要

  21. HMAC HMAC: Keyed-Hashing for Message Authentication (RFC 2104) MACを⽣成するアルゴリズムにハッシュ 関数を利⽤する

    ハッシュ関数は反復利⽤される 鍵もそのまま利⽤するわけではない

  22. 詳しくはおぐぐりください

  23. 利⽤例 AWS REST リクエストの署名と認証 - Amazon Simple Storage Service 基本的な認証のプロセス

    - Amazon Simple Queue Service SSH Protocol 2 integrity

  24. 今回の設計

  25. マイクロサービスなWebAPI

  26. 割り切り 秘密鍵を知っていることを以って相⼿を 信⽤することでユーザー認証不要に ⼆つのサービスの環境変数に同じ秘密 鍵をセットするだけでOK 公開してよい情報なら暗号化も不要

  27. 実装も楽 枯れた⼿法 (1997年 RFC 2104) 実装も普通にアリモノでOK OpenSSL::HMAC (Ruby) hash_hmac() (PHP)

  28. 事例もある SSH, AWSはデカイ

  29. インターネット越しでも HMACでお⼿軽 マイクロサービス

  30. 参考 HMAC: Keyed-Hashing for Message Authentication (RFC 2104 / IPA)