Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Spring Securityでハードウェアトークン認証

Avatar for Yoshikazu Nojima Yoshikazu Nojima
April 18, 2018
Programming
980
0

Spring Securityでハードウェアトークン認証

Spring SecurityでFIDO-U2Fのハードウェアトークンを利用した二段階認証を実現するためにWebAuthnを実装した紹介

Avatar for Yoshikazu Nojima

Yoshikazu Nojima

April 18, 2018

More Decks by Yoshikazu Nojima

See All by Yoshikazu Nojima
入門DBSC
Avatar for Yoshikazu Nojima ynojima
0
530
Passkeys for Java Developers
Avatar for Yoshikazu Nojima ynojima
3
1.4k
サーバーサイド開発者のためのパスキー入門
Avatar for Yoshikazu Nojima ynojima
4
1.5k
Mavenパッケージの署名検証
Avatar for Yoshikazu Nojima ynojima
1
140
FIDO CTAP2 from Authenticator perspective
Avatar for Yoshikazu Nojima ynojima
2
1.1k
WebAuthn & WebAuthn4J Introduction
Avatar for Yoshikazu Nojima ynojima
2
3k
Introduction to WebAuthn Testing API
Avatar for Yoshikazu Nojima ynojima
3
2k
WebAuthn for Java developers
Avatar for Yoshikazu Nojima ynojima
1
2.1k
WebAuthn from the relying-party view
Avatar for Yoshikazu Nojima ynojima
2
6.4k

Other Decks in Programming

See All in Programming
その問い、本当に正しいですか?AI時代のエンジニアに必要な哲学と認知科学 / ai-philosophy-cognitive-science
Avatar for MinoDriven minodriven
11
5.9k
AI時代のUIはどこへ行く?その2!
Avatar for Yusuke Wada yusukebe
22
7.4k
Claspは野良GASの夢をみるか
Avatar for てらうちたかし takter00
0
200
肥大化するレガシーコードに立ち向かうためのインターフェース分離と依存の逆転 / JJUG CCC 2026 Spring
Avatar for hirokuni-maeta hirokunimaeta
0
570
AIとASP.NET Coreで雑Webアプリを作った話
Avatar for Mayuki Sawatari mayuki
0
660
技術記事、 専門家としてのプログラマ、 言語化
Avatar for Koutarou Chikuba mizchi
13
6.2k
過去最大のMCPアップデート! 2026-07-28 RC版の謎に迫る
Avatar for matsukada licux
6
360
Honoでのサプライチェーン侵害対策 〜 3つのライブラリに学ぶ
Avatar for Yusuke Wada yusukebe
6
1.3k
Mujeres en SEO Summit 2026 - Greatest Disaster Hits en Web Performance
Avatar for Estela Franco guaca
0
190
生成AI時代にこそ効くGo | Why Go Works in the Age of Generative AI
Avatar for mom0tomo mom0tomo
8
3.3k
技術記事、AIに書かせるか、自分で書くか? 〜それでも私が自分の手で書く理由〜 / #QiitaConference
Avatar for Junichi Ito jnchito
2
1.4k
Go1.27で導入されるジェネリクスメソッドでできること
Avatar for mackee mackee
0
140

Featured

See All Featured
The browser strikes back
Avatar for Jono Alderson jonoalderson
0
1.3k
Fantastic passwords and where to find them - at NoRuKo
Avatar for Phil Nash philnash
52
3.7k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
59
6.7k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
Designing for humans not robots
Avatar for Tammie Lister tammielis
254
26k
Paper Plane
Avatar for Katie Cordina Lindsey katiecoart
PRO
1
51k
Building a A Zero-Code AI SEO Workflow
Avatar for Ian Lurie portentint
PRO
0
600
How GitHub (no longer) Works
Avatar for Zach Holman holman
316
150k
The SEO identity crisis: Don't let AI make you average
Avatar for Varn varn
0
490
Building Adaptive Systems
Avatar for Chris Keathley keathley
44
3.1k
Unlocking the hidden potential of vector embeddings in international SEO
Avatar for Frank van Dijk frankvandijk
0
850
Gemini Prompt Engineering: Practical Techniques for Tangible AI Outcomes
Avatar for Mfonobong Umondia mfonobong
2
440

Transcript

  1. Copyright © Yoshikazu Nojima 2018 Spring Securityでハードウェアトークン認証 2018-04-18 能島 良和

    (@shiroica)

  2. Copyright © Yoshikazu Nojima 2018 自己紹介 • 能島良和 • 通信キャリアでホスティングサービスの開発・運用

    • 前職は通信キャリア系SIerで社内向けにSpringのPJ技術支援業務 • Twitter:@shiroica • GitHub:ynojima • Apache CloudStackというOSSのコミッタ • Apache CloudStackはSpringの上に構築されています :) 1

  3. Copyright © Yoshikazu Nojima 2018 突然ですが・・・ この中にオンラインサービスのアカウントを 乗っ取られた経験のある方はいますか? 2

  4. Copyright © Yoshikazu Nojima 2018 恥ずかしながら私はあります・・・ 3 アカウントを乗っ取られてスパム投稿に悪用された例:

  5. Copyright © Yoshikazu Nojima 2018 原因 恐らく別のサービスから流出したID/Passwordによるリスト型攻撃。 ID/Passwordを色々なサービスで使いまわしていた為に攻撃されました。 4 もっと安全な認証手段

    が欲しい!!!

  6. Copyright © Yoshikazu Nojima 2018 Web Authentication仕様とは 最近W3Cで勧告候補になった、ハードウェアトークンによる二段階認証や生体認証による セキュアな認証をウェブで実現するためのWeb標準。Firefox Beta/Chrome

    Canaryで実装済 • ローカル認証 • ユーザーとクライアントプラットフォーム間の認証 • 公開鍵認証 • クライアントプラットフォームとサーバー間の認証 の合わせ技の認証方式 5 ユーザー クライアント プラットフォーム サーバー ローカル認証 (指紋認証等) 公開鍵認証 昨日のPublickeyのWebAuthnの紹介記事:

  7. Copyright © Yoshikazu Nojima 2018 Spring Securityで実装してみました spring-security-webauthn • Web

    Authentication仕様を実装するspring-securityの認証プロバイダを実装しライブラリ化 • https://github.com/ynojima/spring-security-webauthn 6 ※多要素認証の実現上、Spring Security本体の実装に も手を入れる必要があり、本体側にもPull Req中

  8. Copyright © Yoshikazu Nojima 2018 Web Authenticationの認証フロー(概略) • ユーザー登録 •

    ユーザー認証 7 ユーザー 認証デバイス ブラウザ サーバー DB ユーザー 認証デバイス ブラウザ サーバー DB • チャレンジ • チャレンジ • ドメイン名 • 署名 • 署名されたデータ • チャレンジ • ドメイン名 • 他 • 署名 • 署名されたデータ 署名、ドメイン チャレンジ、他の検証 RP固有 公開鍵の読込 RP固有 公開鍵の保存 • 認証承認操作 • 登録承認操作 • RP (サイト) 固有公開鍵 • RP固有公開鍵 ローカル認証 公開鍵認証 認証情報を検証 認証情報を検証 RP固有 秘密鍵で署名

  9. Copyright © Yoshikazu Nojima 2018 デモ 8

  10. Copyright © Yoshikazu Nojima 2018 デモ 9

  11. Copyright © Yoshikazu Nojima 2018 デモ 10

  12. Copyright © Yoshikazu Nojima 2018 デモ 11

  13. Copyright © Yoshikazu Nojima 2018 デモ 12

  14. Copyright © Yoshikazu Nojima 2018 デモ 13

  15. Copyright © Yoshikazu Nojima 2018 デモ 14