Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
Search
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Technology
4
770
課金関連の基礎技術: 認証やセキュリティにまつわる最新動向や標準化について
「第42回 HTML5とか勉強会」 2013/9/25 (
http://atnd.org/events/43538
) 発表資料 #html5j
HAYASHI, Tatsuya ( @lef )
September 25, 2013
Tweet
Share
More Decks by HAYASHI, Tatsuya ( @lef )
See All by HAYASHI, Tatsuya ( @lef )
ID連携基礎 / ID Federation Basis
lef
2
1.2k
IDにまつわる脅威と対策 - そうだ、パスワード、減らそう -
lef
1
860
APP + RAI Area Update: HTTP-related WG Report (IETF92)
lef
0
340
プロトコルの形式検証と脆弱性発見の現実 - Case of CCS Injection -
lef
0
150
Upper Layerからのプロトコル変革 - IP Stack Evolution Programの衝撃 -
lef
0
120
IETF/W3C/etc De-facto STD Overview (in My Case)
lef
0
55
HTTP-related+ WG Report (webpush and rtcweb) (IETF91)
lef
0
58
IoT/M2M Hot Topics in IETF (CoAP, ACE, DTLS)
lef
0
310
Online Identity Workshop Vol. 1
lef
0
84
Other Decks in Technology
See All in Technology
Fediverse Discovery Providers overview
andypiper
0
150
Oracle Base Database Service:サービス概要のご紹介
oracle4engineer
PRO
0
13k
スーパーマリオRPGのリメイク版の変更点からみるUX
nishiharatsubasa
1
330
自作Cコンパイラ 8時間の奮闘
soukouki
0
750
PDF Viewer作成の今までとこれから
hunachi
0
280
疎通2024
sadnessojisan
5
1k
リアルお遍路+SORACOM IoT
ozk009
1
120
ロボットアームを遠隔制御の話 & LLMをつかったIoTの話もしたい
soracom
PRO
1
270
AWSを始めた頃に陥りがちなポイントをまとめてみた
oshanqq
1
3.4k
四国クラウドお遍路 2024 in 高知 エンディング
yukataoka
0
190
Monitor GraalVM Native Apps with OpenTelemetry
logico_jp
0
130
アプリをリリースできる状態に保ったまま 段階的にリファクタリングするための 戦略と戦術 / Strategies and tactics for incremental refactoring
yanzm
6
760
Featured
See All Featured
[Rails World 2023 - Day 1 Closing Keynote] - The Magic of Rails
eileencodes
28
1.6k
Infographics Made Easy
chrislema
239
18k
Designing on Purpose - Digital PM Summit 2013
jponch
113
6.8k
5 minutes of I Can Smell Your CMS
philhawksworth
202
19k
Atom: Resistance is Futile
akmur
261
25k
What the flash - Photography Introduction
edds
67
11k
Designing the Hi-DPI Web
ddemaree
278
34k
Dealing with People You Can't Stand - Big Design 2015
cassininazir
363
22k
JavaScript: Past, Present, and Future - NDC Porto 2020
reverentgeek
45
4.8k
Into the Great Unknown - MozCon
thekraken
29
1.4k
Intergalactic Javascript Robots from Outer Space
tanoku
268
26k
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
89
16k
Transcript
https://lepidum.co.jp/ Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved.
課金関連の基礎技術: 認証やセキュリティにまつわる 最新動向や標準化について 株式会社レピダム 林 達也 HAYASHI, Tatsuya lepidum Co. Ltd. HTML5とか勉強会#42 2013/9/25
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
自己紹介 名前 林 達也 ( @lef ) 所属 株式会社レピダム 代表取締役 https://lepidum.co.jp/ OpenIDファウンデーション ジャパン プロデューサー Identity Conference( #idcon ) Internet Society Japan Chapter プログラム委員(2013) 業務領域 標準化支援 認証・認可, アイデン ティティ、プライバシー ソフトウェアセキュリティ, 脆弱性 ネットワーク技術 プログラミング言語処理 系
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
"認証なくして課金なし" 地下鉄に乗る 時とかに使う イメージ
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Token Token とは? 「硬貨(coin)の代わりに用いられる代用貨幣のこと。」 http://ja.wikipedia.org/wiki/%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3 Bearer Token とは? http://idmlab.eidentity.jp/2013/09/bearer-token.html " ということで、崎村さんによる解説です。 Bearer は「持参人払い」から来ている ※大辞林によると「持参人払い=小切手などの証書で,特定の者を権 利者として指定せず,それを持参した人に支払うこと」 つまり、トークンを持ってきた人に対して支払う(API 利用を許可する)、という意味である 例えば、飛行機のチケットは持ってきた人が権利者かどうかの確認を行うが、演劇のチケッ トは持ってきた人が観劇できる。この演劇のチケットが Bearer である " Access Token とは? "Access tokens are credentials used to access protected resources." (RFC6749) Credentials とは? -> 証明, 資格 Credit とは? -> 信頼, 信用
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
AuthNとAuthZ AutheNtication(認証)とAuthoriZation(認可) は別のもの! 混乱の原因例 OAuth2.0はOAuthZです!(認可) OpenID ConnectはAuthNです(認証)
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
OAuth2.0 Web Authorization Protocol Webで使われる認可の為のフレームワーク RFC6749 "The OAuth 2.0 Authorization Framework" RFC6750 "The OAuth 2.0 Authorization Framework: Bearer Token Usage" 現在はトークンのフォーマットや 周辺エンドポイント等の議論中
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Webにおける 次世代の認証技術 OAuth2.0ベース 旧来のOpenID 2.0とは 別物 Second Implementer’s Drafts Approved! OpenID Connect
None
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Next Identity Technology UMA (User-Managed Access) IETFで標準化予定 http://kantarainitiative.org/confluence/ display/uma/Home Account Chooser http://ac.openid.net/ http://accountchooser.com/ Google等で一部試験的に公開中 HTTP Authentication HTTP層の認証を実用可能なものに IETFで標準化中 Mutual, HOBA, SCRAM FIDO Alliance Forget Passwords! http://www.fidoalliance.org/
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
WebPayments W3C WebPayments Community Group Working Groupではない Webの課金の標準化を目指している Use Cases Proximity payments Remote payments Peer to Peer payments 3つのML public-webpayments public-webpayments-contrib (0通) internal-webpayments (-) PaySwarm 元になった提案
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Secure Elements API System Applications Working Group Secure Elements(?) Smart card SIM/UICC card Smart/Secure microSD cards Embedded Secure Elements Android Key Store? (in Android 4.3) iOS Keychain Services? (in iOS 2.0) in CPU...? 「Type A/B方式のおサイフ ケータイ対応サービスをご利 用の際に必要な、ドコモ miniUIMカード(ピンク色)の 提供について」 http://www.nttdocomo.co.jp /info/notice/page/130222_0 0.html
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Really? / in real world...
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
未解決の課題:UIセキュリティ 祖父、祖母、息子、娘。 身近な全ての人達が 安全にInternetを使える、 シンプルで誰にでもわかるような 信頼の仕組みを実現したい!
Copyright © 2004-2013 Lepidum Co. Ltd. All rights reserved. https://lepidum.co.jp/
Join us! 少しでも世界を変えたい 仲間を募集しています! フォーラム標準化活動 Digital Identity / 認証・認可 Software Security / Internet Security ネットワークソフトウェア Software Defined Network Wi-Fi 言語処理系 etc...