Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Spring Securityでハードウェアトークン認証

Yoshikazu Nojima
April 18, 2018
Programming
0
870

Spring Securityでハードウェアトークン認証

Spring SecurityでFIDO-U2Fのハードウェアトークンを利用した二段階認証を実現するためにWebAuthnを実装した紹介

Yoshikazu Nojima

April 18, 2018
Tweet

More Decks by Yoshikazu Nojima

See All by Yoshikazu Nojima
サーバーサイド開発者のためのパスキー入門
ynojima
4
720
Mavenパッケージの署名検証
ynojima
1
52
FIDO CTAP2 from Authenticator perspective
ynojima
2
890
WebAuthn & WebAuthn4J Introduction
ynojima
2
2.5k
Introduction to WebAuthn Testing API
ynojima
3
1.9k
WebAuthn for Java developers
ynojima
2
1.9k
WebAuthn from the relying-party view
ynojima
2
6k
WebAuthn in a nutshell - NTT Tech Conf #3 (ja)
ynojima
2
1.9k

Other Decks in Programming

See All in Programming
PHP ステートレス VS ステートフル 状態管理と並行性 / php-stateless-stateful
ytake
0
100
『品質』という言葉が嫌いな理由
korimu
0
160
1年目の私に伝えたい!テストコードを怖がらなくなるためのヒント/Tips for not being afraid of test code
push_gawa
0
180
XStateを用いた堅牢なReact Components設計~複雑なClient Stateをシンプルに~ @React Tokyo ミートアップ #2
kfurusho
1
910
Spring gRPC について / About Spring gRPC
mackey0225
0
220
さいきょうのレイヤードアーキテクチャについて考えてみた
yahiru
3
750
動作確認やテストで漏れがちな観点3選
starfish719
6
1k
社内フレームワークとその依存性解決 / in-house framework and its dependency management
vvakame
1
560
Domain-Driven Transformation
hschwentner
2
1.9k
Immutable ActiveRecord
megane42
0
140
『GO』アプリ バックエンドサーバのコスト削減
mot_techtalk
0
140
もう僕は OpenAPI を書きたくない
sgash708
5
1.8k

Featured

See All Featured
Designing Dashboards & Data Visualisations in Web Apps
destraynor
231
53k
The Art of Programming - Codeland 2020
erikaheidi
53
13k
Unsuck your backbone
ammeep
669
57k
Being A Developer After 40
akosma
89
590k
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
33
2.1k
Testing 201, or: Great Expectations
jmmastey
42
7.2k
A better future with KSS
kneath
238
17k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
193
16k
Designing for Performance
lara
604
68k
StorybookのUI Testing Handbookを読んだ
zakiyama
28
5.5k
Why You Should Never Use an ORM
jnunemaker
PRO
55
9.2k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
366
25k

Transcript

  1. Copyright © Yoshikazu Nojima 2018 Spring Securityでハードウェアトークン認証 2018-04-18 能島 良和

    (@shiroica)

  2. Copyright © Yoshikazu Nojima 2018 自己紹介 • 能島良和 • 通信キャリアでホスティングサービスの開発・運用

    • 前職は通信キャリア系SIerで社内向けにSpringのPJ技術支援業務 • Twitter:@shiroica • GitHub:ynojima • Apache CloudStackというOSSのコミッタ • Apache CloudStackはSpringの上に構築されています :) 1

  3. Copyright © Yoshikazu Nojima 2018 突然ですが・・・ この中にオンラインサービスのアカウントを 乗っ取られた経験のある方はいますか? 2

  4. Copyright © Yoshikazu Nojima 2018 恥ずかしながら私はあります・・・ 3 アカウントを乗っ取られてスパム投稿に悪用された例:

  5. Copyright © Yoshikazu Nojima 2018 原因 恐らく別のサービスから流出したID/Passwordによるリスト型攻撃。 ID/Passwordを色々なサービスで使いまわしていた為に攻撃されました。 4 もっと安全な認証手段

    が欲しい!!!

  6. Copyright © Yoshikazu Nojima 2018 Web Authentication仕様とは 最近W3Cで勧告候補になった、ハードウェアトークンによる二段階認証や生体認証による セキュアな認証をウェブで実現するためのWeb標準。Firefox Beta/Chrome

    Canaryで実装済 • ローカル認証 • ユーザーとクライアントプラットフォーム間の認証 • 公開鍵認証 • クライアントプラットフォームとサーバー間の認証 の合わせ技の認証方式 5 ユーザー クライアント プラットフォーム サーバー ローカル認証 (指紋認証等) 公開鍵認証 昨日のPublickeyのWebAuthnの紹介記事:

  7. Copyright © Yoshikazu Nojima 2018 Spring Securityで実装してみました spring-security-webauthn • Web

    Authentication仕様を実装するspring-securityの認証プロバイダを実装しライブラリ化 • https://github.com/ynojima/spring-security-webauthn 6 ※多要素認証の実現上、Spring Security本体の実装に も手を入れる必要があり、本体側にもPull Req中

  8. Copyright © Yoshikazu Nojima 2018 Web Authenticationの認証フロー(概略) • ユーザー登録 •

    ユーザー認証 7 ユーザー 認証デバイス ブラウザ サーバー DB ユーザー 認証デバイス ブラウザ サーバー DB • チャレンジ • チャレンジ • ドメイン名 • 署名 • 署名されたデータ • チャレンジ • ドメイン名 • 他 • 署名 • 署名されたデータ 署名、ドメイン チャレンジ、他の検証 RP固有 公開鍵の読込 RP固有 公開鍵の保存 • 認証承認操作 • 登録承認操作 • RP (サイト) 固有公開鍵 • RP固有公開鍵 ローカル認証 公開鍵認証 認証情報を検証 認証情報を検証 RP固有 秘密鍵で署名

  9. Copyright © Yoshikazu Nojima 2018 デモ 8

  10. Copyright © Yoshikazu Nojima 2018 デモ 9

  11. Copyright © Yoshikazu Nojima 2018 デモ 10

  12. Copyright © Yoshikazu Nojima 2018 デモ 11

  13. Copyright © Yoshikazu Nojima 2018 デモ 12

  14. Copyright © Yoshikazu Nojima 2018 デモ 13

  15. Copyright © Yoshikazu Nojima 2018 デモ 14