“⾞が通れるほど⼤きな”セキュリティーホールを抑えながらログインしたい

Transcript

1. “車が通れるほど大きな” セキュリティーホールを抑えながら ログインしたい Kyoto Tech Talk #8 2025/5/29 京都産業大学 上村太成

2. 自己紹介 • taiseiue • X: @taiseiue • taiseiue.jp • C#/PHP/JavaScript

   • バックエンド/プログラミング言語 • おひとり様サークル => WSOFT • wsoft.ws

3. 導入 • 最近スタジオを手伝ってます スタジオふみ

4. 導入 • スタジオふみで使うアプリに認証をかけたい • 備品管理アプリ • メディアサーバー • ファイルサーバー •

   Minecraftサーバー

5. 導入 • アプリごとの認証を使う • 備品管理アプリ → NextAuth • メディアサーバー →

   サーバー付属のものを使う • ファイルサーバー → Active Directory • Minecraftサーバー → すべてを受け入れる

6. 管理がめんどう

7. Cloudflare ZeroTrust

8. None

9. 認証 • Cloudflare Zero Trust • 特定のアプリやトラフィックに認証を掛けれる • だけじゃなくて、HTTPならリクエストヘッダにおまけがついてくる •

   Cf-Access-Jwt-Assertionヘッダの値をAPIに投げるとユーザー名や メールアドレスが返ってくる • SSO的なことができる

10. ログイン方法を考える

11. None
12. None
13. None

14. Googleでログインする

15. None
16. None

17. Googleでログインの問題点 • (どういうわけか)一部の人はGoogleアカウントを複数持っている • 何にどれをつかっているか覚えていない 1Passwordにもこんな機能が

18. 何のコミュニティ用に 使ってるか明確なIdP？

19. Discordやん

20. None

21. OAuth2.0で認証？

22. https://www.sakimura.org/2012/02/1487/

23. https://www.sakimura.org/2012/02/1487/ OAuth2→OIDCを使う

24. None

25. OpenID Connect (OIDC) • OAuth2の拡張 • OAuth2は「認可」に対してOIDCは「認証」が目的 • OAuth2のアクセストークンに加えてIDトークンを持つ

26. OpenID Connect (OIDC) • OAuth2の拡張 • OAuth2は「認可」に対してOIDCは「認証」が目的 • OAuth2のアクセストークンに加えてIDトークンを持つ OAuth2のプロキシ的なものを作り、

    それが追加でIDトークンを返せばいい

27. DiscordのOAuth2.0を OIDCにプロキシする

28. https://github.com/taiseiue/discord-oidc-proxy

29. “いかにも今ドキ”を実現

30. ./setup.sh && pnpx publish

31. 使い方

32. None
33. None

34. 作り方

35. None
36. None

37. OIDCディスカバリ

38. None
39. None
40. None
41. None
42. None
43. None
44. None

45. まとめ • OP(OpenID Provider)はそこそこ簡単に作れる • OAuth2が使えるなら(理屈上)OIDCのログインが生やせる • たとえばX(Twitter)とか • Misskeyも？

    • 自分で認証関係のもの作るの怖いね

46. “車が通れるほど大きな” セキュリティーホールを抑えながら ログインしたい Kyoto Tech Talk #8 2025/5/29 京都産業大学 上村太成