Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Spring Securityでハードウェアトークン認証

Avatar for Yoshikazu Nojima Yoshikazu Nojima
April 18, 2018
Programming
0
950

Spring Securityでハードウェアトークン認証

Spring SecurityでFIDO-U2Fのハードウェアトークンを利用した二段階認証を実現するためにWebAuthnを実装した紹介

Avatar for Yoshikazu Nojima

Yoshikazu Nojima

April 18, 2018
Tweet

More Decks by Yoshikazu Nojima

See All by Yoshikazu Nojima
Passkeys for Java Developers
Avatar for Yoshikazu Nojima ynojima
3
1.2k
サーバーサイド開発者のためのパスキー入門
Avatar for Yoshikazu Nojima ynojima
4
1.2k
Mavenパッケージの署名検証
Avatar for Yoshikazu Nojima ynojima
1
100
FIDO CTAP2 from Authenticator perspective
Avatar for Yoshikazu Nojima ynojima
2
990
WebAuthn & WebAuthn4J Introduction
Avatar for Yoshikazu Nojima ynojima
2
2.8k
Introduction to WebAuthn Testing API
Avatar for Yoshikazu Nojima ynojima
3
2k
WebAuthn for Java developers
Avatar for Yoshikazu Nojima ynojima
2
2.1k
WebAuthn from the relying-party view
Avatar for Yoshikazu Nojima ynojima
2
6.2k
WebAuthn in a nutshell - NTT Tech Conf #3 (ja)
Avatar for Yoshikazu Nojima ynojima
2
2k

Other Decks in Programming

See All in Programming
WebRTC、 綺麗に見るか滑らかに見るか
Avatar for sublimer sublimer
1
150
ID管理機能開発の裏側 高速にSaaS連携を実現したチームのAI活用編
Avatar for Atsushi Kawamura (atzz/a2c) atzzcokek
0
190
AIコーディングエージェント(NotebookLM)
Avatar for kondai kondai24
0
130
新卒エンジニアのプルリクエスト with AI駆動
Avatar for Yuta Fukunaga fukunaga2025
0
160
251126 TestState APIってなんだっけ?Step Functionsテストどう変わる?
Avatar for Takumi Abe east_takumi
0
300
テストやOSS開発に役立つSetup PHP Action
Avatar for Atsushi Matsuo matsuo_atsushi
0
140
Building AI Agents with TypeScript #TSKaigiHokuriku
Avatar for izumin5210 izumin5210
6
1.2k
全員アーキテクトで挑む、 巨大で高密度なドメインの紐解き方
Avatar for Agata Naomichi agatan
8
19k
目的で駆動する、AI時代のアーキテクチャ設計 / purpose-driven-architecture
Avatar for MinoDriven minodriven
11
4k
Full-Cycle Reactivity in Angular: SignalStore mit Signal Forms und Resources
Avatar for Manfred Steyer manfredsteyer
PRO
0
180
dnx で実行できるコマンド、作ってみました
Avatar for Tomohisa Takaoka tomohisa
0
140
20 years of Symfony, what's next?

Avatar for Fabien Potencier fabpot
2
310

Featured

See All Featured
Distributed Sagas: A Protocol for Coordinating Microservices
Avatar for Caitie McCaffrey caitiem20
333
22k
Thoughts on Productivity
Avatar for Jon Yablonski jonyablonski
73
5k
Why You Should Never Use an ORM
Avatar for John Nunemaker jnunemaker
PRO
60
9.6k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
What’s in a name? Adding method to the madness
Avatar for Product Marketing Alliance productmarketing
PRO
24
3.8k
The Hidden Cost of Media on the Web [PixelPalooza 2025]
Avatar for Tammy Everts tammyeverts
1
82
The Success of Rails: Ensuring Growth for the Next 100 Years
Avatar for Eileen M. Uchitelle eileencodes
46
7.8k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
56
14k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
Avatar for Marc Duiker marcduiker
35
2.3k
Build The Right Thing And Hit Your Dates
Avatar for Maggie C. maggiecrowley
38
3k
RailsConf 2023
Avatar for Aaron Patterson tenderlove
30
1.3k
A better future with KSS
Avatar for Kyle Neath kneath
240
18k

Transcript

  1. Copyright © Yoshikazu Nojima 2018 Spring Securityでハードウェアトークン認証 2018-04-18 能島 良和

    (@shiroica)

  2. Copyright © Yoshikazu Nojima 2018 自己紹介 • 能島良和 • 通信キャリアでホスティングサービスの開発・運用

    • 前職は通信キャリア系SIerで社内向けにSpringのPJ技術支援業務 • Twitter:@shiroica • GitHub:ynojima • Apache CloudStackというOSSのコミッタ • Apache CloudStackはSpringの上に構築されています :) 1

  3. Copyright © Yoshikazu Nojima 2018 突然ですが・・・ この中にオンラインサービスのアカウントを 乗っ取られた経験のある方はいますか? 2

  4. Copyright © Yoshikazu Nojima 2018 恥ずかしながら私はあります・・・ 3 アカウントを乗っ取られてスパム投稿に悪用された例:

  5. Copyright © Yoshikazu Nojima 2018 原因 恐らく別のサービスから流出したID/Passwordによるリスト型攻撃。 ID/Passwordを色々なサービスで使いまわしていた為に攻撃されました。 4 もっと安全な認証手段

    が欲しい!!!

  6. Copyright © Yoshikazu Nojima 2018 Web Authentication仕様とは 最近W3Cで勧告候補になった、ハードウェアトークンによる二段階認証や生体認証による セキュアな認証をウェブで実現するためのWeb標準。Firefox Beta/Chrome

    Canaryで実装済 • ローカル認証 • ユーザーとクライアントプラットフォーム間の認証 • 公開鍵認証 • クライアントプラットフォームとサーバー間の認証 の合わせ技の認証方式 5 ユーザー クライアント プラットフォーム サーバー ローカル認証 (指紋認証等) 公開鍵認証 昨日のPublickeyのWebAuthnの紹介記事:

  7. Copyright © Yoshikazu Nojima 2018 Spring Securityで実装してみました spring-security-webauthn • Web

    Authentication仕様を実装するspring-securityの認証プロバイダを実装しライブラリ化 • https://github.com/ynojima/spring-security-webauthn 6 ※多要素認証の実現上、Spring Security本体の実装に も手を入れる必要があり、本体側にもPull Req中

  8. Copyright © Yoshikazu Nojima 2018 Web Authenticationの認証フロー(概略) • ユーザー登録 •

    ユーザー認証 7 ユーザー 認証デバイス ブラウザ サーバー DB ユーザー 認証デバイス ブラウザ サーバー DB • チャレンジ • チャレンジ • ドメイン名 • 署名 • 署名されたデータ • チャレンジ • ドメイン名 • 他 • 署名 • 署名されたデータ 署名、ドメイン チャレンジ、他の検証 RP固有 公開鍵の読込 RP固有 公開鍵の保存 • 認証承認操作 • 登録承認操作 • RP (サイト) 固有公開鍵 • RP固有公開鍵 ローカル認証 公開鍵認証 認証情報を検証 認証情報を検証 RP固有 秘密鍵で署名

  9. Copyright © Yoshikazu Nojima 2018 デモ 8

  10. Copyright © Yoshikazu Nojima 2018 デモ 9

  11. Copyright © Yoshikazu Nojima 2018 デモ 10

  12. Copyright © Yoshikazu Nojima 2018 デモ 11

  13. Copyright © Yoshikazu Nojima 2018 デモ 12

  14. Copyright © Yoshikazu Nojima 2018 デモ 13

  15. Copyright © Yoshikazu Nojima 2018 デモ 14