スライド概要 「ヤフーにおける WebAuthn と Passkey の UX の紹介と考察」 idcon vol.29 で発表した資料です。 ヤフーの WebAuthn に関連する UX と Passkeys の登場によって変化した部分について紹介します。 https://idcon.connpass.com/event/258685/
2018年現在、Webサービスの認証方式はIDとパスワードを用いたものが主流です。しかし、さまざまなWebサービスを利用していると、どのサービスにどんなパスワードを設定したか分からなくなったり、推測されやすいパスワードは不正利用のリスクもあるなど、多くの課題を抱えているのが現状です。 このような状況のなか、「WebAuthn」というパスワードに依存しない認証を実現する仕様が、ウェブ標準の最終形の「勧告」の一つ前の段階である「勧告候補」になりました。本記事では、その「WebAuthn」の特徴やメリット、今後の課題について解説します。 昨今、スマートフォン等の普及もあいまって、便利なクラウドサービスやWebサービスが次々と出現し、Webサービスの利用は我々の生活に欠かせないものとなってきています。皆さんも日常的に多数のWebサービスを利用していると思いますが、そこで問題になるのは、やはり、パス
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
GitHubのを眺めていたら、ORYのoathkeeperを見つた。 これがGoogleが社内で使用している「BeyondCorp」を参考にしているということが書いてあったので、その論文を読んだ。 BeyondCorpとは GoogleがVPNの代わりに使用している、認証・認可のシステム。 人・デバイス・ネットワークなどを基に社内システムへのアクセス制御を行い、ホテルやカフェなどから、Google社内システムへのアクセスができるようになっている。 論文は何個か出されているが、読んだのは、BeyondCorp: A New Approach to Enterprise Security また、GCPのサービスにもなっていて、Cloud Identity-Aware proxyという名前になっている BeyondCorpの仕組み 図にすると、↓のような構成らしい 認証 HRのシステムと結びつい
はじめに Googleの提供するサービス郡が共通して利用している認可システムにはZanzibarという名前がついています。ZanzibarはGoogleDrive・Google Map・Youtubeなどの巨大なサービスにも使用されています。 そのため、利用量も凄まじく 数10億のユーザー 数兆のACL(access control list) 秒間100万リクエスト もの量をさばいています。 にも関わらず、Zanzibarはこれを10ミリ秒以内に返します(95パーセンタイル)。 この記事では、そんなZanzibarの内部構造に関する論文「Zanzibar: Google’s Consistent, Global Authorization System」の中から、主に大量のリクエストをさばくための工夫を紹介します。 ちなみに、以前Googleの社内システム用の認可システム「Beyond
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く