Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Spring Securityでハードウェアトークン認証

Avatar for Yoshikazu Nojima Yoshikazu Nojima
April 18, 2018
Programming
0
920

Spring Securityでハードウェアトークン認証

Spring SecurityでFIDO-U2Fのハードウェアトークンを利用した二段階認証を実現するためにWebAuthnを実装した紹介

Avatar for Yoshikazu Nojima

Yoshikazu Nojima

April 18, 2018
Tweet

More Decks by Yoshikazu Nojima

See All by Yoshikazu Nojima
Passkeys for Java Developers
Avatar for Yoshikazu Nojima ynojima
3
1k
サーバーサイド開発者のためのパスキー入門
Avatar for Yoshikazu Nojima ynojima
4
1.1k
Mavenパッケージの署名検証
Avatar for Yoshikazu Nojima ynojima
1
93
FIDO CTAP2 from Authenticator perspective
Avatar for Yoshikazu Nojima ynojima
2
960
WebAuthn & WebAuthn4J Introduction
Avatar for Yoshikazu Nojima ynojima
2
2.6k
Introduction to WebAuthn Testing API
Avatar for Yoshikazu Nojima ynojima
3
2k
WebAuthn for Java developers
Avatar for Yoshikazu Nojima ynojima
2
2k
WebAuthn from the relying-party view
Avatar for Yoshikazu Nojima ynojima
2
6.1k
WebAuthn in a nutshell - NTT Tech Conf #3 (ja)
Avatar for Yoshikazu Nojima ynojima
2
1.9k

Other Decks in Programming

See All in Programming
Ruby×iOSアプリ開発 ~共に歩んだエコシステムの物語~
Avatar for Tomoki Kobayashi temoki
0
240
Laravel Boost 超入門
Avatar for Arlo fire_arlo
2
200
TanStack DB ~状態管理の新しい考え方~
Avatar for じょうげん bmthd
2
480
AIでLINEスタンプを作ってみた
Avatar for kmuto eycjur
1
220
CJK and Unicode From a PHP Committer
Avatar for てきめん tekimen youkidearitai
PRO
0
110
FindyにおけるTakumi活用と脆弱性管理のこれから
Avatar for adachi.ryo rvirus0817
0
410
Flutter with Dart MCP: All You Need - 박제창 2025 I/O Extended Busan
Avatar for JaiChangPark itsmedreamwalker
0
130
コンテキストエンジニアリング Cursor編
Avatar for kinopee kinopeee
1
760
Design Foundational Data Engineering Observability
Avatar for suci sucitw
3
160
Oracle Database Technology Night 92 Database Connection control FAN-AC
Avatar for oracle4engineer oracle4engineer
PRO
1
400
The Past, Present, and Future of Enterprise Java
Avatar for ivargrimstad ivargrimstad
0
340
CloudflareのChat Agent Starter Kitで簡単!AIチャットボット構築
Avatar for syumai syumai
2
420

Featured

See All Featured
4 Signs Your Business is Dying
Avatar for Josh Pigford shpigford
184
22k
GraphQLとの向き合い方2022年版
Avatar for Yosuke Kurami quramy
49
14k
The Cost Of JavaScript in 2023
Avatar for Addy Osmani addyosmani
53
8.9k
Music & Morning Musume
Avatar for Bryan Veloso bryan
46
6.8k
Responsive Adventures: Dirty Tricks From The Dark Corners of Front-End
Avatar for Vitaly Friedman smashingmag
252
21k
Documentation Writing (for coders)
Avatar for Carmen Chung carmenintech
74
5k
Large-scale JavaScript Application Architecture
Avatar for Addy Osmani addyosmani
512
110k
How To Stay Up To Date on Web Technology
Avatar for Chris Coyier chriscoyier
790
250k
Navigating Team Friction
Avatar for Lara Hogan lara
189
15k
The Art of Programming - Codeland 2020
Avatar for Erika Heidi erikaheidi
55
13k
GitHub's CSS Performance
Avatar for Jon Rohan jonrohan
1032
460k
Practical Tips for Bootstrapping Information Extraction Pipelines
Avatar for Matthew Honnibal honnibal
PRO
23
1.4k

Transcript

  1. Copyright © Yoshikazu Nojima 2018 Spring Securityでハードウェアトークン認証 2018-04-18 能島 良和

    (@shiroica)

  2. Copyright © Yoshikazu Nojima 2018 自己紹介 • 能島良和 • 通信キャリアでホスティングサービスの開発・運用

    • 前職は通信キャリア系SIerで社内向けにSpringのPJ技術支援業務 • Twitter:@shiroica • GitHub:ynojima • Apache CloudStackというOSSのコミッタ • Apache CloudStackはSpringの上に構築されています :) 1

  3. Copyright © Yoshikazu Nojima 2018 突然ですが・・・ この中にオンラインサービスのアカウントを 乗っ取られた経験のある方はいますか? 2

  4. Copyright © Yoshikazu Nojima 2018 恥ずかしながら私はあります・・・ 3 アカウントを乗っ取られてスパム投稿に悪用された例:

  5. Copyright © Yoshikazu Nojima 2018 原因 恐らく別のサービスから流出したID/Passwordによるリスト型攻撃。 ID/Passwordを色々なサービスで使いまわしていた為に攻撃されました。 4 もっと安全な認証手段

    が欲しい!!!

  6. Copyright © Yoshikazu Nojima 2018 Web Authentication仕様とは 最近W3Cで勧告候補になった、ハードウェアトークンによる二段階認証や生体認証による セキュアな認証をウェブで実現するためのWeb標準。Firefox Beta/Chrome

    Canaryで実装済 • ローカル認証 • ユーザーとクライアントプラットフォーム間の認証 • 公開鍵認証 • クライアントプラットフォームとサーバー間の認証 の合わせ技の認証方式 5 ユーザー クライアント プラットフォーム サーバー ローカル認証 (指紋認証等) 公開鍵認証 昨日のPublickeyのWebAuthnの紹介記事:

  7. Copyright © Yoshikazu Nojima 2018 Spring Securityで実装してみました spring-security-webauthn • Web

    Authentication仕様を実装するspring-securityの認証プロバイダを実装しライブラリ化 • https://github.com/ynojima/spring-security-webauthn 6 ※多要素認証の実現上、Spring Security本体の実装に も手を入れる必要があり、本体側にもPull Req中

  8. Copyright © Yoshikazu Nojima 2018 Web Authenticationの認証フロー(概略) • ユーザー登録 •

    ユーザー認証 7 ユーザー 認証デバイス ブラウザ サーバー DB ユーザー 認証デバイス ブラウザ サーバー DB • チャレンジ • チャレンジ • ドメイン名 • 署名 • 署名されたデータ • チャレンジ • ドメイン名 • 他 • 署名 • 署名されたデータ 署名、ドメイン チャレンジ、他の検証 RP固有 公開鍵の読込 RP固有 公開鍵の保存 • 認証承認操作 • 登録承認操作 • RP (サイト) 固有公開鍵 • RP固有公開鍵 ローカル認証 公開鍵認証 認証情報を検証 認証情報を検証 RP固有 秘密鍵で署名

  9. Copyright © Yoshikazu Nojima 2018 デモ 8

  10. Copyright © Yoshikazu Nojima 2018 デモ 9

  11. Copyright © Yoshikazu Nojima 2018 デモ 10

  12. Copyright © Yoshikazu Nojima 2018 デモ 11

  13. Copyright © Yoshikazu Nojima 2018 デモ 12

  14. Copyright © Yoshikazu Nojima 2018 デモ 13

  15. Copyright © Yoshikazu Nojima 2018 デモ 14