20231109_WebAuthnを使ったパスワードレス認証をRailsアプリケーションで実装する

WebAuthnを使ったパスワードレス認証をRailsアプリケーションで実装する 2023/11/09 @After Kaigi on Rails Night メドピア株式会社
伊藤悠真

Kaigi on Rails お疲れ様でした！

気になったセッション

自己紹介 • 伊藤悠真 (@yuma_ito_bd) • フィッツプラス（メドピアの子会社）のサーバーサイドエンジニア ◦ 特定保健指導の効率化支援ツール Tonoelの開
発 • Ruby/Rails歴2年弱 • 趣味：バスケ、コーヒー

パスワードを忘れたことがある人 ✋

パスワードが不要な認証方式があります！

体験してみよう！ https://webauthn.io

3つのキーワード • FIDO • WebAuthn • パスキー

FIDO （Fast Identity Online）とは？ • パスワードレスで認証するための技術 • 指紋や虹彩などの生体情報やPIN、専用のセキュリティーキーを用いる
• 公開鍵暗号方式を利用し、サーバーにはパスワードではなく公開鍵を保存する

FIDO認証のメリット • UXの向上 ◦ パスワードを覚える必要がない • セキュリティーの向上 ◦ 秘匿情報を通信しない（秘密鍵は認証器に安全に保存）
◦ Webサービスごとに異なる公開鍵を登録できる

WebAuthn ＝WebブラウザでFIDO認証を実現する仕様（API）

認証器ブラウザ WebAuthnの仕組み（登録）サーバ ①チャレンジ要求 ②チャレンジ生成 ③本人認証を要求 ④本人認証 ⑤公開鍵/秘密鍵を生成、端末に秘密鍵
を保存 ⑥公開鍵など署名情報を送信 ⑦署名情報を検証 ⑧公開鍵を保存

認証器ブラウザ WebAuthnの仕組み（認証）サーバ ①チャレンジ要求 ②チャレンジ生成 ③本人認証を要求 ④本人認証 ⑤端末に保存された秘密鍵で署名
⑥署名情報を送信 ⑦DBに保存された公開鍵で署名情報を検証

秘密鍵をクラウドで同期する仕組み例：認証器(iPhone)が変わっても同じAppleアカウントにログインしていればWebサービスにログインできる（狭義の）パスキー

（広義の）パスキー WebAuthnによるパスワードを使わない認証パスキー対応サービス： Google, Apple, Microsoft, Amazon, GitHub, 1Password, Yahoo!
JAPAN, ドコモ, メルカリなど続々対応！

RailsでWebAuthnの認証機能を実装してみたい！

けど署名の検証とか仕様が難しそう・・・（実際、難しかったです）

アプリの公開が間に合いませんでした

WebAuthn用のGem • webauthn-ruby ◦ WebAuthnの認証サーバで必要な処理を担ってくれるGem • warden-webauthn ◦ RackベースのミドルウェアWardenでWebAuthn認証を行う Gem
• devise-passkeys ◦ devise（有名な認証用Gem）でWebAuthn認証を行うGem

WebAuthn用のnpmパッケージ • フロントエンドで必要な処理（認証器へのリクエスト、パラメータのbase64変換）を担う • @github/webauthn-json (star: 680) • @simplewebauthn
(star: 981) ◦ サーバサイド（Node.js）の処理やTypeScriptの型情報が用意されている • @passwordless-id/webauthn (star: 213)

Model • User ◦ deviseの認証で使うモデル ◦ webauthn_id (ユーザID) • Passkey
◦ 公開鍵を管理するモデル ◦ label ◦ public_key ◦ external_id ◦ sign_count

routes チャレンジ要求用エンドポイント

Controller （登録）認証サーバー情報チャレンジの生成署名の検証、公開鍵の保存

JavaScript チャレンジ生成用URL ブラウザがサポートしているか確認 navigator.credentials. create()を内部で実行

まとめ • FIDO認証、WebAuthenの仕組み、パスキーについて • FIDO認証できる簡単なRailsアプリケーションのを実装方法について • FIDO認証の実装をぜひ検討してみてください！

20231109_WebAuthnを使ったパスワードレス認証をRailsアプリケーション...

20231109_WebAuthnを使ったパスワードレス認証をRailsアプリケーションで実装する

Yuma Ito

Other Decks in Technology

Featured

Transcript

WebAuthnを使ったパスワードレス認証をRailsアプリケーションで実装する 2023/11/09 @After Kaigi on Rails Night メドピア株式会社

Kaigi on Rails お疲れ様でした！

気になったセッション

自己紹介 • 伊藤悠真 (@yuma_ito_bd) • フィッツプラス（メドピアの子会社）のサーバーサイドエンジニア ◦ 特定保健指導の効率化支援ツール Tonoelの開

パスワードを忘れたことがある人 ✋

パスワードが不要な認証方式があります！

体験してみよう！ https://webauthn.io

3つのキーワード • FIDO • WebAuthn • パスキー

FIDO （Fast Identity Online）とは？ • パスワードレスで認証するための技術 • 指紋や虹彩などの生体情報やPIN、専用のセキュリティーキーを用いる

FIDO認証のメリット • UXの向上 ◦ パスワードを覚える必要がない • セキュリティーの向上 ◦ 秘匿情報を通信しない（秘密鍵は認証器に安全に保存）

3つのキーワード • FIDO • WebAuthn • パスキー

WebAuthn ＝WebブラウザでFIDO認証を実現する仕様（API）

認証器ブラウザ WebAuthnの仕組み（登録）サーバ ①チャレンジ要求 ②チャレンジ生成 ③本人認証を要求 ④本人認証 ⑤公開鍵/秘密鍵を生成、端末に秘密鍵

認証器ブラウザ WebAuthnの仕組み（認証）サーバ ①チャレンジ要求 ②チャレンジ生成 ③本人認証を要求 ④本人認証 ⑤端末に保存された秘密鍵で署名

3つのキーワード • FIDO • WebAuthn • パスキー

秘密鍵をクラウドで同期する仕組み例：認証器(iPhone)が変わっても同じAppleアカウントにログインしていればWebサービスにログインできる（狭義の）パスキー

（広義の）パスキー WebAuthnによるパスワードを使わない認証パスキー対応サービス： Google, Apple, Microsoft, Amazon, GitHub, 1Password, Yahoo!

RailsでWebAuthnの認証機能を実装してみたい！

けど署名の検証とか仕様が難しそう・・・（実際、難しかったです）

アプリの公開が間に合いませんでした

WebAuthn用のGem • webauthn-ruby ◦ WebAuthnの認証サーバで必要な処理を担ってくれるGem • warden-webauthn ◦ RackベースのミドルウェアWardenでWebAuthn認証を行う Gem

WebAuthn用のnpmパッケージ • フロントエンドで必要な処理（認証器へのリクエスト、パラメータのbase64変換）を担う • @github/webauthn-json (star: 680) • @simplewebauthn

Model • User ◦ deviseの認証で使うモデル ◦ webauthn_id (ユーザID) • Passkey

Model

routes チャレンジ要求用エンドポイント

Controller （登録）認証サーバー情報チャレンジの生成署名の検証、公開鍵の保存

JavaScript チャレンジ生成用URL ブラウザがサポートしているか確認 navigator.credentials. create()を内部で実行

まとめ • FIDO認証、WebAuthenの仕組み、パスキーについて • FIDO認証できる簡単なRailsアプリケーションのを実装方法について • FIDO認証の実装をぜひ検討してみてください！