認証・認可

• WebAPI学習ソースまとめ

• Web API認証方式のパターン
• OAuth & OpenID Connect 関連仕様まとめ

• エンジニアが事業戦略の実現のために認証基盤システムを構築した話

• ALB + Cognito で作るユーザー認証

• 認証を含む API 開発で検討すべきこと
• Web API認証について
• 技術/HTTP/REST設計思想の "Stateless" との付き合い方
• WebAPIの認証

• 今さら聞けない「認証」のハナシ

• 認証は、端末やサービスなどを「誰が扱うのか」や「その人物が正当な本人か」を識別する役割を持っている

認証の情報 †

• 知識（Something you know）：あなたが知っていること
  • （例：パスワード、暗証番号、秘密の質問、パターンなど）

• 所有（Something you have）：あなたが持っているもの
  • （例：ICカード、スマホアプリ、携帯電話用SIMカード（SMSメッセージ用）、ハードウェアトークン、USBトークンなど）

• 生体（Something you are）：あなた自身のもの。身体的特徴
  • （例：指紋、顔、静脈、虹彩など）

二段階認証 †

• 二段階認証とは？二要素認証との違いやメリット、セキュリティ強化のポイントを解説
• もう面倒とは言えない二段階認証の基本、二要素認証との違い
• 「7pay」不正ログイン被害で話題「二段階認証」とは？
• 2段階認証の落とし穴、ヤマト運輸が不正ログインを許したワケ
• 本当に安全？　「二段階認証」のハナシ
• 中国のハッカー集団、2要素認証をかいくぐり政府機関などを攻撃--研究者が発表

• 二段階認証とは、Webサービスなどにログインする際、ID・パスワードの他に、メールやSMS（ショートメッセージサービス）で送られてくるコードを入力するというように、利用者認証を2回に分けて行う手法
• パスワードが流出した場合に備え、チェック機能をもう一段階設けておくことで、アカウントの乗っ取りを防ぐ目的がある
• 二段階認証の各段階で使用する認証情報を別々の要素にすることで、「パスワードが分かっても、個人を特定してスマホを入手しなければならない」「スマホを入手したとしても、パスワードを推測しなければならない」といった具合に、不正利用者側の手間が増え、情報入手難易度が劇的に上がり、セキュリティ向上につながる

多要素認証 †

• 二要素認証とは？セキュリティを向上させる5つのポイント
• 二要素認証の種類
• 「過去最悪の水準」　ネットバンク不正送金、急増の理由　破られた“多要素認証の壁"

• 認証に使う「要素」には、ID・パスワードなどの「本人しか知らない情報」の他、ICカードやスマホなど「本人が持っている物」、さらには指紋や虹彩など「本人の身体的な特徴」といった種類があり、これらを組み合わせるのが多要素認証

関連サービス †

• 着信認証

知識認証 †

• PINとパスワードは何が違う？　意外と知らない「知識認証」のハナシ

所有認証 †

SMS認証 †

• GoogleやLINEみたいなSMS二要素認証をTwilioでサクッと実装してみよう
• ASP.NET Core での SMS による2要素認証

SMS送信サービス †

• SMS送信APIのオススメサービス5つを紹介！比較ポイントを解説
• 人気のSMS APIをまとめてみた

• メディアSMS - メディア4u
• SMS pricing - twilio ... $ 0.0800/message
  • Programmable API - KDDI

生体認証 †

• 生体認証技術の日本展開を加速する仏セキュリティ大手

指紋認証 †

• 非接触の指紋認証技術、1秒で4本を高速読み取り

静脈認証 †

• 手のひら静脈認証とは
• 安全性と利便性を両立する静脈認証技術

• 富士通研、顔と手のひら静脈のマルチで100万規模の生体認証対応

• 機器組込み用小型指静脈認証モジュール｢H4Eシリーズ｣

• LG、5G対応で2画面になる「LG V50 ThinQ 5G」と静脈認証対応の「LG G8 ThinQ」

ノルミー †

• Mobile Biometrics
  • モバイル生体認証として『世界初』のコモンクライテリア認証取得

• スマホで静脈認証が可能に、日本の新興企業が開発
• 生体認証の未来はどうなる? ノルミーの「手のひら生体認証技術」が実現する、便利で安全な未来の暮らし
• スマートで安全な「クラウド手のひら認証」の導入による、手ぶらキャッシュレス決済ソリューションでレジの混雑解消を実証

3Dセキュア †

• PayPayも導入した「3Dセキュア」って何？　クレジットカード本人認証のハナシ

• 基本的にはパスワード認証
• クレジットカードにひも付いたパスワードをあらかじめ設定しておき、クレジットカードを使用する際にパスワードを入力する

Cisco Duo †

• Cisco Duo紹介：第1回 Duo概要とMFA

各認証 †

BASIC認証 †

• wikipediaによる解説

Digest認証 †

• wikipediaによる解説

WSSE認証 †

• HTTPのX-WSSEヘッダを用いて認証用文字列を送信する認証手段
• WSSE認証用文字列にはユーザー名とパスワードが含まれる
• パスワードはSHA1アルゴリズムによって暗号化されたダイジェストとして送信されるため、HTTP BASIC認証などに比べてセキュアな認証が可能

OAuth †

• オープンな認証API「oAuth」
• OAuth - リソースへのアクセスを代行するプロトコル
• WebAPI のアクセス制御に使える OAuth という仕様

OpneID †

OIDC (OpenID Connect) †

• 一番分かりやすい OpenID Connect の説明

Google Authenticator †

• Google Authenticatorとは
• 今すぐできる、Webサイトへの2要素認証導入
• 2段階認証アプリGoogle Authenticatorのインストール設定＆Webでの認証例
• 2段階認証GoogleAuthenticatorのWebアプリ版を作ってみた

参考URL †

• WebAPI，認証APIのセキュリティ
• AtomPPやRESTなどのAPIにおける認証のメモ

OAuth 2.0 †

• OAuthプロトコルの中身をざっくり解説してみるよ
• ゼロから学ぶOAuth
• APIアクセス権を委譲するプロトコル、OAuthを知る

• OAuth 2.0の代表的な利用パターンを仕様から理解しよう
• OAuth 2.0 全フローの図解と動画
• OAuth 2.0 クライアント認証
• OAuth 2.0 の仕組みと認証方法
• OAuth 2.0 の認可レスポンスとリダイレクトに関する説明
• OAuth2.0によるWeb APIの保護

• 一番分かりやすい OAuth の説明
• OAuth 2.0 の勉強のために認可サーバーを自作する

RFC6749 †

• RFC 6749 - The OAuth 2.0 Authorization Framework 日本語訳

stateパラメタ †

• OAuthやOpenID Connectで使われるstateパラメーターについて
• OAuth2.0 State の役割
• 図解：OAuth 2.0に潜む「5つの脆弱性」と解決法
• OAuth 2.0, OpenID Connect の state, PKCE, nonce について調べた
• OAuthのセキュリティ強化を目的とする拡張仕様を導入しました

• CSRF対策

• stateパラメタの限界
  • 認証サーバは認可要求からクライアントがstateパラメータを利用しているかどうか”は知ることができるものの, “stateパラメータに共通の値や推測可能な値を指定していないか”、クライアントが正しく認可応答のstateパラメータの検証をしているか”までは知ることができない

PKCE †

• Proof Key for Code Exchange by OAuth Public Clients

• Auth0を利用してOAuth 2.0のPKCEを理解する
• OAuth2.0拡張仕様のPKCE実装紹介 〜 Yahoo! ID連携に導入しました
• PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと
• OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する

リソースオーナーパスワードクレデンシャルグラント †

• リソースオーナーパスワードクレデンシャルグラント

OpenID Connect †

• 一番分かりやすい OpenID Connect の説明
• Open ID Connectとは？概要とメリットを解説！
• OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ
• 金融APIセキュリティのためのOAuth/OIDC入門
• OAuth / OpenID Connectを中心とするAPIセキュリティについて

• OAuth2を拡張したもの
• 機能的で安全な認証システムを実現する方法について明確なガイダンスを提供

SAML(Security Assertion Markup Language) †

• SAMLとOAuthの違い

• SAMLとは？SSO（シングルサインオン）認証の仕組み・メリット

• SAML認証を勉強せずに理解したい私から勉強せずに理解したい私へ
• SAML認証の処理のフローを知りたい

• 強力なSSOを実現するXML認証・認可サービス（SAML）

WebAuthn? †

• パスワード不要の認証「WebAuthn」とは？｜「FIDO」の構成技術を解説
• WebAuthnのやさしい解説！安全にパスワードレス認証ができる仕組みとは？
• WebAuthnの仕組み

ログイン認証 †

事例 †

• ログイン認証・マイページ

IDフェデレーション †

• 【入門】ID フェデレーションとは？わかりやすく解説

Sign in with Apple †

• Sign in with Appleと連携の設定

• Eight、Sign in with Apple対応したよ！

Sign in with Google †

• 1回タップするだけでアプリやサイトにサインインできる新機能「One Tap」をGoogleが発表

AWS †

• 【徹底解説】AWSにおける認証サービスとは？

• LaravelからAppSync APIをIAM認証で実行する