Upgrade to Pro — share decks privately, control downloads, hide ads and more …

lightweight authenticity of microservices

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for wtnabe wtnabe
August 20, 2016
Programming
0
490

lightweight authenticity of microservices

これくらいならユーザー認証なしでやってもいいかも? みたいな割り切りの話。

Avatar for wtnabe

wtnabe

August 20, 2016
Tweet

More Decks by wtnabe

See All by wtnabe
Rubyでもモノリポしたい - 調査、おわわり編 -
Avatar for wtnabe wtnabe
0
37
Ruby de Railway Oriented Programming
Avatar for wtnabe wtnabe
0
72
Bindanのススメ
Avatar for wtnabe wtnabe
0
46
そのオブジェクト、何を保証してくれますか? - GuideRailのススメ -
Avatar for wtnabe wtnabe
0
65
Effective Jekyll
Avatar for wtnabe wtnabe
0
92
5 min Jekyll/Liquid Plugin cooking
Avatar for wtnabe wtnabe
0
54
Ruby de Wasm
Avatar for wtnabe wtnabe
0
84
Cloud Native Buildpacksって結局どうなの?
Avatar for wtnabe wtnabe
0
67
Decoupled System with Turbo Frame
Avatar for wtnabe wtnabe
1
160

Other Decks in Programming

See All in Programming
AI活用のコスパを最大化する方法
Avatar for Ochtum ochtum
0
270
「接続」—パフォーマンスチューニングの最後の一手 〜点と点を結ぶ、その一瞬のために〜
Avatar for 武田 憲太郎 kentaroutakeda
3
1.7k
CSC307 Lecture 15
Avatar for Javier Gonzalez-Sanchez javiergs
PRO
0
260
S3ストレージクラスの「見える」「ある」「使える」は全部違う ─ 体験から見た、仕様の深淵を覗く
Avatar for ya_ma23 ya_ma23
0
870
AIに任せる範囲を安全に広げるためにやっていること
Avatar for Masashi Fukuzawa fukucheee
0
150
脱 雰囲気実装! AgentCoreを良い感じに WEBアプリケーションに組み込むために
Avatar for Takuya Yonezawa takuyay0ne
3
370
コードレビューをしない選択 #でぃーぷらすトウキョウ
Avatar for Takuma Kajikawa kajitack
3
1.1k
PHP 7.4でもOpenTelemetryゼロコード計装がしたい! / PHPerKaigi 2026
Avatar for Arthur arthur1
1
350
Kubernetesでセルフホストが簡単なNewSQLを求めて / Seeking a NewSQL Database That's Simple to Self-Host on Kubernetes
Avatar for nnaka2992 nnaka2992
0
170
それはエンジニアリングの糧である:AI開発のためにAIのOSSを開発する現場より / It serves as fuel for engineering: insights from the field of developing open-source AI for AI development.
Avatar for nrs nrslib
1
450
Migration to Signals, Signal Forms, Resource API, and NgRx Signal Store @Angular Days 03/2026 Munich
Avatar for Manfred Steyer manfredsteyer
PRO
0
120
OTP を自動で入力する裏技
Avatar for Megabits_mzq megabitsenmzq
0
120

Featured

See All Featured
Future Trends and Review - Lecture 12 - Web Technologies (1019888BNR)
Avatar for Beat Signer signer
PRO
0
3.3k
What Being in a Rock Band Can Teach Us About Real World SEO
Avatar for Ade Holder 427marketing
0
200
Git: the NoSQL Database
Avatar for Brandon Keepers bkeepers
PRO
432
67k
Mind Mapping
Avatar for Hélio Medeiros helmedeiros
PRO
1
130
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
0
48k
The untapped power of vector embeddings
Avatar for Frank van Dijk frankvandijk
2
1.6k
職位にかかわらず全員がリーダーシップを発揮するチーム作り / Building a team where everyone can demonstrate leadership regardless of position
Avatar for MADOX madoxten
62
52k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
51
52k
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
49
9.9k
How to Grow Your eCommerce with AI & Automation
Avatar for Katarina Dahlin katarinadahlin
PRO
1
150
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
249
1.3M
No one is an island. Learnings from fostering a developers community.
Avatar for Antonio thoeni
21
3.6k

Transcript

  1. インターネット越しの マイクロサービスな WebAPIの真正性設計 @wtnabe Kanazawa.rb meetup #48 2016-08-20 (Sat) at

    IT Plaza MUSASHI

  2. お品書き 真正性 今回の⽬的 メッセージ認証 今回の設計

  3. 真正性

  4. authenticity なりすましではないこと

  5. インターネット越しの通信 相⼿が誰か分からない 内容が改竄されていないか分からない

  6. 対策技術 ユーザー認証 メッセージ認証

  7. ユーザー認証 独⾃実装 既存の認証機構を利⽤ SSL証明書を利⽤する ID / password⽅式 公開鍵⽅式

  8. メッセージ認証 MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  9. ユーザー認証が重い 実装は重い パスワード管理は重い 鍵ペア管理は重い

  10. 逆に⽳になったり 独⾃実装がヘボい 管理がヘボい

  11. 今回の⽬的

  12. マイクロサービスな WebAPIアクセス

  13. 「ユーザー」は1⼈2⼈しかいないはず (やりとりの必要なサービスは当初せ いぜい1つか2つ程度だろう) ⼤げさなユーザー認証機構は必要か? ⼤げさなユーザー認証機構は必要か?

  14. もう⼀度 制約 制約 インターネット越し AWS VPCのようなゾーンはない あくまでアプリで VPN組むとかナシで

  15. メッセージ認証

  16. おおまかに MD5やSHA256などのダイジェスト関数 デジタル署名 MAC ( Message Authentication Code )

  17. おおまかに 内容の⼀致しか分からない 鍵ペア管理が重い 共通の秘密鍵しかないので管理しやすい

  18. MACいいんじゃない?

  19. MAC 1. 共通の秘密鍵を持つ 2. 送信側 メッセージから鍵を⽤いてMACを⽣成 メッセージ本⽂とMACを送信 3. 受信側 メッセージ本⽂と秘密鍵からMACを⽣成

    受信したMACを検証

  20. メリット 鍵が漏れていなければメッセージは改竄 されていないと⾔える 鍵そのものは送らないので暗号化不要

  21. HMAC HMAC: Keyed-Hashing for Message Authentication (RFC 2104) MACを⽣成するアルゴリズムにハッシュ 関数を利⽤する

    ハッシュ関数は反復利⽤される 鍵もそのまま利⽤するわけではない

  22. 詳しくはおぐぐりください

  23. 利⽤例 AWS REST リクエストの署名と認証 - Amazon Simple Storage Service 基本的な認証のプロセス

    - Amazon Simple Queue Service SSH Protocol 2 integrity

  24. 今回の設計

  25. マイクロサービスなWebAPI

  26. 割り切り 秘密鍵を知っていることを以って相⼿を 信⽤することでユーザー認証不要に ⼆つのサービスの環境変数に同じ秘密 鍵をセットするだけでOK 公開してよい情報なら暗号化も不要

  27. 実装も楽 枯れた⼿法 (1997年 RFC 2104) 実装も普通にアリモノでOK OpenSSL::HMAC (Ruby) hash_hmac() (PHP)

  28. 事例もある SSH, AWSはデカイ

  29. インターネット越しでも HMACでお⼿軽 マイクロサービス

  30. 参考 HMAC: Keyed-Hashing for Message Authentication (RFC 2104 / IPA)