Upgrade to Pro — share decks privately, control downloads, hide ads and more …

バイトルにOAuth 2.0を導入

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Shoei Watanabe Shoei Watanabe
November 26, 2018
1.7k
0

バイトルにOAuth 2.0を導入

Avatar for Shoei Watanabe

Shoei Watanabe

November 26, 2018

More Decks by Shoei Watanabe

See All by Shoei Watanabe
全国300店舗フィットネスジムでの ClickHouse x LibreChat の活用事例
Avatar for Shoei Watanabe sh0e1
0
64
SNKRDUNKでGo+gRPCで すすめるモジュラモノリス
Avatar for Shoei Watanabe sh0e1
5
4k
About blockchain full managed node service backend built with Azure
Avatar for Shoei Watanabe sh0e1
1
460

Featured

See All Featured
Introduction to Domain-Driven Design and Collaborative software design
Avatar for Kenny Baas-Schwegler baasie
1
710
svc-hook: hooking system calls on ARM64 by binary rewriting
Avatar for Akira Moroo retrage
2
200
Building the Perfect Custom Keyboard
Avatar for Naoto Takai takai
2
720
The AI Revolution Will Not Be Monopolized: How open-source beats economies of scale, even for LLMs
Avatar for Ines Montani inesmontani
PRO
3
3.3k
Marketing Yourself as an Engineer | Alaka | Gurzu
Avatar for Gurzu gurzu
0
170
Public Speaking Without Barfing On Your Shoes - THAT 2023
Avatar for David Neal reverentgeek
1
360
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
254
22k
So, you think you're a good person
Avatar for Per Axbom axbom
PRO
2
2k
Test your architecture with Archunit
Avatar for Yoan thirion
1
2.2k
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
230k
The Impact of AI in SEO - AI Overviews June 2024 Edition
Avatar for Aleyda Solis aleyda
5
790
Pawsitive SEO: Lessons from My Dog (and Many Mistakes) on Thriving as a Consultant in the Age of AI
Avatar for David Carrasco davidcarrasco
0
110

Transcript

  1. バイトルにOAuth 2.0を導入 2018/11/26 dip × istyle 合同勉強会

  2. アウトライン 1. 自己紹介 2. アプリが抱えていた課題 3. 何故OAuth 2.0? 4. OAuth

    2.0とは 5. システム構成 6. 導入時に注意したこと / 導入後の不具合 7. OAuth 2.0を導入した結果 8. まとめ

  3. 渡邊 翔永(Shoei Watanabe) @sh0e12uatanal3e @sh0e1 @sh0e1 ▪ 経歴 • SIer

    • フリーランス • ディップ - 2018/06 ▪ スキル • Golang / PHP / JavaScript • GCP • Blockchain ▪ 業務 • サーバサイド • アプリ用API • OAuth 2.0サーバ • 外部のB向けAPI 自己紹介

  4. • 一定期間アプリを起動しないとログア ウト状態になる • 認証トークンの有効期限がいつ切れ るかアプリ側では判定できない • 認証トークンが有効化どうかがAPIへ リクエストを投げてから判断している アプリが抱えていた課題

  5. 抱えていた課題の解決 • アクセストークンの有効期限あり ▶ アプリ側で認証のハンドリングが可能 • RFCで仕様が決められている ▶ 独自認証より安全 今後に向けて

    • マイクロサービス化 • バイトルでログイン機能の展開 何故OAuth 2.0?

  6. • サードパーティーアプリケーションによるHTTPサービスへの限定的なアク セスを可能にする認可フレームワーク • RFC6749 - https://openid-foundation-japan.github.io/rfc6749.ja.html • Facebook /

    Twitter / Googleアカウントでログイン • アクセストークンを使ってリソースを取得 • リフレッシュトークンでアクセストークンを更新 OAuth 2.0とは

  7. • 認可コード • インプリシット • リソースオーナーパスワードクレデンシャル • クライアントクレデンシャル OAuth 2.0の認可グラント

  8. 認可コード

  9. インプリシット

  10. リソースオーナーパスワードクレデンシャル

  11. クライアントクレデンシャル

  12. システム構成 - 導入後

  13. フレームワーク • なし、標準のhttpパッケージ OAuth Server • github.com/openshift/osin Storage • 自作パッケージ

    ▶ 今後OSSで公開していきたい GoのLibrary

  14. • リソースオーナーパスワードクレデンシャル • アクセストークンの有効期限は1時間 • リフレッシュトークンの有効期限は半年 • アクセストークンはJSON Web Token

    • スコープはなし バイトルでのOAuth 2.0の仕様

  15. • 総当たり攻撃対策 • パスワード変更はトークンを全削除 • KVSの排他制御 導入時に注意したこと

  16. 総当たり攻撃対策 一定期間内に一定回数パスワードを間違える ▼ 強制パスワードリセット

  17. アクセストークン / リフレッシュトークンが漏洩 ▼ パスワード変更 ▼ トークンが有効なままだと、リソースにアクセス可能 パスワード変更時のトークン全削除

  18. KVSの排他制御 - 問題点 1つのリフレッシュトークンで複数のアクセストークンが発行される

  19. KVSの排他制御 - 対策 RedisのSETNXを使ってLock機能を実装して対応

  20. • 再認証時のAPIリクエストが減った • マイクロサービス化の第一歩 • バイトルでログインはこれから OAuth 2.0を導入した結果

  21. • OAuth2.0を導入してアプリの課題を解決できた • 導入するにあたり、セキュリティは特に注意しないといけない • マイクロサービス化の第一歩を踏み出せた 今後について • Webの認証もOAuth 2.0に

    • 更にマイクロサービス化を進めていく • バイトルでログインを含む外部向けのAPIの公開 まとめ

  22. ありがとうございました