SlideShare a Scribd company logo

Idcon11 implicit demo

Ryo Ito, profile picture
Ryo Ito

OAuth Implicit Flow Demo at idcon#11

Technology
1 of 62
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
OpenID Connect Demo IdCon #11 IDENTITY CONFERENCE @ritou
やりません
Implicit Flowを考える会 IdCon #11 IDENTITY CONFERENCE @ritou
OAuth 2.0には Implicit Flowってのがありまして
Client Secretを 安全に保管できない場合に 使うことになってます
使いどころ • JavaScriptをインクルードしてClient ID だけ指定して呼び出せばOAuthの処 理やっちゃう系 • iOS/Androidのアプリやデスクトップ PCなど、、リバースエンジニアリング 可能なクライアント
今回問題となるのは、
いわゆる OAuth認証
OAuth 2.0 + Profile API で SSO をImplicitでやる場合
10 OAuth : Implicit Flow Server Client 1. ログインしたい End User
11 OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 合鍵ください Client 1. ログインしたい End User
12 OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
13 OAuth : Implicit Flow Server 4. 合鍵を使って プロフィール情報 のロッカーに アクセス 2. Serverさん、 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
14 OAuth : Implicit Flow Server 4. 合鍵を使って ログイン プロフィール情報 のロッカーに アクセス 2. Serverさん、 成功 ロッカーの 3. 合鍵あげます 合鍵ください Client 1. ログインしたい End User
これがそのまま行われる 合鍵=Access Token
Idcon11 implicit demo
見せましょう
材料 • OAuth 2.0のImplicit Flowを利用するClient – Sample Client A できあがったものがこちらです。 https://r- weblife.sakura.ne.jp/idcon11/SampleA.php
Access Tokenだけで 簡単にログインさせることが できました。
Access Tokenだけで 簡単にログインさせることが できました。
AccessTokenに紐づく人を 認証された人として 扱っています
もし、 サンプルサイトAの管理者が 悪いことを考えたら
「うちでもらったAccess Token よそでも使えるのでは?」
24 OAuth : Implicit Flow Server Client 1. ログインしたい End User
25 OAuth : Implicit Flow Server 2. Serverさん、 ロッカーの 合鍵ください Client 1. ログインしたい End User
26 OAuth : Implicit Flow Server Evil Client 3.こっそり 別の合鍵 2. Serverさん、 あげます ロッカーの 合鍵ください Client 1. ログインしたい End User
27 OAuth : Implicit Flow Server Evil 4. 合鍵を使って Client プロフィール情報 3.こっそり のロッカーに 別の合鍵 アクセス 2. Serverさん、 あげます ロッカーの 合鍵ください Client 1. ログインしたい End User
28 OAuth : Implicit Flow Server Evil 4. 合鍵を使って Client ログイン プロフィール情報 3.こっそり のロッカーに 別の合鍵 アクセス 2. Serverさん、 あげます 成功??? ロッカーの 合鍵ください Client 1. ログインしたい End User
サイトAがもらったAccess TokenでサイトBのレスポ ンス中のAccessTokenを 置き換える
やりましょう
材料 • OAuth 2.0のImplicit Flowを利用するClient – Sample Client A – Sample Client B • 悪い管理人 –A できあがったものがこちらです。 https://r-weblife.sakura.ne.jp/idcon11/SampleB.php
Access Tokenだけで 別人としてログインさせることが できました。
これはやばい?
Implicit Flowを Disってるわけではない
フラグメントで受け取った AccessTokenを 信用するしかないしくみだし
Access Tokenは リソースアクセスのためのもの
わかってて Profile APIの結果で ログインさせますか? って話
では、そういうClientに ログインさせたい場合は どうすれば?
そこで OpenID Connect
どう違うのか?
OpenID Connectでは、 認証結果の受け渡しに ID Tokenを使う
ID Token=紹介状
43 OpenID Connect : Implicit Flow Server Client 1. ログインしたい End User
44 OpenID Connect : Implicit Flow Server 2. Serverさん、 証明書と合鍵 ください Client 1. ログインしたい End User
45 OpenID Connect : Implicit Flow Server 2. Serverさん、 3. 合鍵と証明書 証明書と合鍵 あげます ください Client 1. ログインしたい End User
46 OpenID Connect : Implicit Flow Server 2. Serverさん、 3. 合鍵と証明書 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
47 OpenID Connect : Implicit Flow Server 5. 合鍵を使って プロフィール情報 のロッカーに アクセス 3. 合鍵と証明書 2. Serverさん、 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
48 OAuth : Implicit Flow Server 5. 合鍵を使って これで プロフィール情報 のロッカーに アクセス 3. 合鍵と証明書 2. Serverさん、 いける? 証明書と合鍵 あげます ください Client 1. ログインしたい End User 4. 証明書使って ログイン処理
ID Tokenの例 • eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3 MiOiJodHRwOlwvXC 9zZXJ2ZXIuZXhhbXBsZS5jb20iLCJ1c2VyX2lkIjoi MjQ4Mjg5NzYxMDAxIiwiYXVkIjoiaH R0cDpcL1wvY2xpZW50LmV4YW1wbGUuY29tI iwiZXhwIjoxMzExMjgxOTcwfQ.eDesUD0vzDH 3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ
ID Tokenの例 • eyJ0eXAiOiJKV1QiLCJhbGciOiJIUzI1NiJ9.eyJpc3 意味不明 MiOiJodHRwOlwvXC 9zZXJ2ZXIuZXhhbXBsZS5jb20iLCJ1c2VyX2lkIjoi MjQ4Mjg5NzYxMDAxIiwiYXVkIjoiaH R0cDpcL1wvY2xpZW50LmV4YW1wbGUuY29tI iwiZXhwIjoxMzExMjgxOTcwfQ.eDesUD0vzDH 3T1G3liaTNOrfaeWYjuRCEPNXVtaazNQ
ID Tokenの中身 • iss : Server Identifier • user_id : • aud : Client Identifier • exp : (有効期限) • acr : 認証レベルなど • nonce : (リプレイアタック防ぐための文字列) これらをJSON形式にして署名つけたもの
ID Tokenを使うメリット • Server,Client,ユーザーID,nonceを含むため、 Clientは自ら送ったリクエストに対するレスポ ンスだということを確認できる
OpenID Connectによって Access Token置き換え攻撃 に気づけるのかやってみた
材料 • OAuth 2.0のImplicit Flowを利用するClient – Sample Client A • OpenID ConnectのImplicit Flowを利用するClient – Sample Client C • 悪い管理人 –A できあがったものがこちらです。 https://r-weblife.sakura.ne.jp/idcon11/SampleC.php
ID Tokenを使うことで Access Token置き換え攻撃 にも気づける
OpenID Connect やりましょう
いや、みなさん、 他にも言いたいこと あると思う
ID Tokenを 置き換えられないの?
ID Tokenを 置き換えられないの? ↓ 中のClientIDやらを見て 検証すれば気づくはず
Access Tokenとの組み合わせも 確認できないよね?
Access Tokenとの組み合わせも 確認できないよね? ↓ ID Tokenに Access Tokenのhashつっこむ のを検討中
続きはまたあとで! Twitter/Facebook/Google+ などで質問受け付けます (@_nat,@nov,@ritouあたり)

More Related Content

PPTX
OAuth認証について
Yoshifumi Sato
 
PDF
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
 
PDF
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
 
PDF
今更聞けないOAuth2.0
Takahiro Sato
 
PDF
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
 
PDF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
 
PDF
ID & IT 2013 - OpenID Connect Hands-on
Nov Matake
 
PDF
Authlete overview
mtisol
 
OAuth認証について
Yoshifumi Sato
 
OAuth 2.0の概要とセキュリティ
Hiroshi Hayakawa
 
なんとなくOAuth怖いって思ってるやつちょっと来い
Ryo Ito
 
今更聞けないOAuth2.0
Takahiro Sato
 
PDSを実現するにあたっての技術動向の紹介 (OAuth, OpenID Connect, UMAなど)
Tatsuo Kudo
 
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
Masaru Kurahayashi
 
ID & IT 2013 - OpenID Connect Hands-on
Nov Matake
 
Authlete overview
mtisol
 

What's hot (20)

PDF
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
 
PDF
マイクロWebアプリケーション - Developers.IO 2016
都元ダイスケ Miyamoto
 
PDF
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
 
PDF
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
 
PDF
OAuth 2.0による認可の流れ
Takeshi Mikami
 
PDF
OID to OIDC idcon mini vol1
Ryo Ito
 
PDF
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
PDF
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
 
PDF
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
PDF
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
 
PDF
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
 
PDF
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
PPTX
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
dstn
 
PDF
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
 
PPTX
OAuth2基礎知識
sokamo1975
 
PDF
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan
 
PDF
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
 
PPTX
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
 
PDF
Oauth2.0とか(認証と認可)_201403
Shunsuke Mihara
 
PPTX
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
[SC07] Azure AD と Ruby で学ぶ OpenID Connect!
de:code 2017
 
マイクロWebアプリケーション - Developers.IO 2016
都元ダイスケ Miyamoto
 
CIBA (Client Initiated Backchannel Authentication) の可能性 #authlete #api #oauth...
Tatsuo Kudo
 
OAuth認証再考からのOpenID Connect #devlove
Nov Matake
 
OAuth 2.0による認可の流れ
Takeshi Mikami
 
OID to OIDC idcon mini vol1
Ryo Ito
 
OAuth / OpenID Connect (OIDC) の最新動向と Authlete のソリューション
Tatsuo Kudo
 
FAPI (Financial-grade API) and CIBA (Client Initiated Backchannel Authenticat...
Tatsuo Kudo
 
OAuth / OpenID Connectを中心とするAPIセキュリティについて #yuzawaws
Tatsuo Kudo
 
API提供におけるOAuthの役割 #apijp
Tatsuo Kudo
 
エンタープライズIT環境での OpenID Connect / SCIM の具体的実装方法 idit2014
Takashi Yahata
 
認証技術、デジタルアイデンティティ技術の最新動向
Tatsuo Kudo
 
2014年4月17日 dstnHub発表スライド ライトニングトークス「開発部開発グループ OAuth2.0 認証を実現してみた」
dstn
 
認証の課題とID連携の実装 〜ハンズオン〜
Masaru Kurahayashi
 
OAuth2基礎知識
sokamo1975
 
OpenID Connect - Nat Sakimura at OpenID TechNight #7
OpenID Foundation Japan
 
これからのネイティブアプリにおけるOpenID Connectの活用
Masaru Kurahayashi
 
Idcon25 FIDO2 の概要と YubiKey の実装
Haniyama Wataru
 
Oauth2.0とか(認証と認可)_201403
Shunsuke Mihara
 
ID連携のあるとき~、ないとき~ #エンプラ編
Takashi Yahata
 
Ad

Viewers also liked (15)

PDF
Full stack security
DPC Consulting Ltd
 
PDF
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
 
PDF
OpenID Connect 101 @ OpenID TechNight vol.11
Nov Matake
 
PDF
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
PDF
Python で OAuth2 をつかってみよう!
Project Samurai
 
PDF
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
 
PDF
AngularFireで楽々バックエンド
Yosuke Onoue
 
PDF
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
 
PDF
ID連携概要 - OpenID TechNight vol.13
Nov Matake
 
PDF
Oracle API Gateway
Rakesh Gujjarlapudi
 
PPTX
オフラインファーストの思想と実践
Shumpei Shiraishi
 
PPTX
Securing RESTful APIs using OAuth 2 and OpenID Connect
Jonathan LeBlanc
 
PPTX
Angular2実践入門
Shumpei Shiraishi
 
PDF
angular1脳で見るangular2
Moriyuki Arakawa
 
PPTX
Api gatewayの話
Hiroshi Hayakawa
 
Full stack security
DPC Consulting Ltd
 
アイデンティティ2.0とOAuth/OpenID Connect
Shinichi Tomita
 
OpenID Connect 101 @ OpenID TechNight vol.11
Nov Matake
 
OpenID ConnectとAndroidアプリのログインサイクル
Masaru Kurahayashi
 
Python で OAuth2 をつかってみよう!
Project Samurai
 
YAPC::Tokyo 2013 ritou OpenID Connect
Ryo Ito
 
AngularFireで楽々バックエンド
Yosuke Onoue
 
サバフェス 2016 Yahoo! ID連携のご紹介 〜OpenID Connect入門〜
Masaru Kurahayashi
 
ID連携概要 - OpenID TechNight vol.13
Nov Matake
 
Oracle API Gateway
Rakesh Gujjarlapudi
 
オフラインファーストの思想と実践
Shumpei Shiraishi
 
Securing RESTful APIs using OAuth 2 and OpenID Connect
Jonathan LeBlanc
 
Angular2実践入門
Shumpei Shiraishi
 
angular1脳で見るangular2
Moriyuki Arakawa
 
Api gatewayの話
Hiroshi Hayakawa
 
Ad

Similar to Idcon11 implicit demo (20)

PDF
Introduction of OAuth 2.0 vol.1
Ryo Ito
 
PDF
OpenID Connect入門
土岐 孝平
 
PDF
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
 
PDF
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
 
PDF
091009 Identity Conference #6 ritou
Ryo Ito
 
PPTX
OIDC(OpenID Connect)について解説③
iPride Co., Ltd.
 
PDF
Anonymous OAuth Test
Ryo Ito
 
PDF
OAuth 2.0 と ライブラリ
Kenji Otsuka
 
PDF
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
PDF
0905xx Hybrid Memo
Ryo Ito
 
PDF
kitproライトニングトーク
Taichi Kimura
 
PDF
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
 
PDF
Whats wrong oauth_authn
Nov Matake
 
PDF
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Toru Yamaguchi
 
PDF
TwitterのOAuthってなんぞ?
deflis
 
PDF
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
 
PPTX
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
PDF
LINEログインの最新アップデートとアプリ連携ウォークスルー
Naohiro Fujie
 
PPTX
SSLの技術的な仕組みとサイトのSSL化について
ssuserb5e2a0
 
PPTX
Chrome ExtensionでSelf-Issued OpenID Provider
Takeru Ujinawa
 
Introduction of OAuth 2.0 vol.1
Ryo Ito
 
OpenID Connect入門
土岐 孝平
 
The Latest Specs of OpenID Connect at #idcon 9
Ryo Ito
 
OCHaCafe#5 - 避けては通れない!認証・認可
オラクルエンジニア通信
 
091009 Identity Conference #6 ritou
Ryo Ito
 
OIDC(OpenID Connect)について解説③
iPride Co., Ltd.
 
Anonymous OAuth Test
Ryo Ito
 
OAuth 2.0 と ライブラリ
Kenji Otsuka
 
Authentication and Authorization of The Latest Keycloak
Hitachi, Ltd. OSS Solution Center.
 
0905xx Hybrid Memo
Ryo Ito
 
kitproライトニングトーク
Taichi Kimura
 
Financial-grade API Hands-on with Authlete
Tatsuo Kudo
 
Whats wrong oauth_authn
Nov Matake
 
Mobage Connect と Identity 関連技術への取り組み - OpenID Summit Tokyo 2015
Toru Yamaguchi
 
TwitterのOAuthってなんぞ?
deflis
 
FAPI and Beyond: From an specification author's point of view #fapisum - Japa...
FinTechLabs.io
 
FAPI and beyond - よりよいセキュリティのために
Nat Sakimura
 
LINEログインの最新アップデートとアプリ連携ウォークスルー
Naohiro Fujie
 
SSLの技術的な仕組みとサイトのSSL化について
ssuserb5e2a0
 
Chrome ExtensionでSelf-Issued OpenID Provider
Takeru Ujinawa
 

More from Ryo Ito (15)

PDF
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
 
PDF
idcon mini vol3 CovertRedirect
Ryo Ito
 
PDF
OpenID-TechNight-11-LT-mixi
Ryo Ito
 
PDF
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
 
PDF
#idcon 15th ritou 2factor auth
Ryo Ito
 
PDF
Open id connect claims idcon mini vol1
Ryo Ito
 
PDF
Account Chooser idcon mini Vol.1
Ryo Ito
 
PDF
BackplaneProtocol超入門
Ryo Ito
 
PDF
UserManagedAccess_idcon13
Ryo Ito
 
PDF
WebIntents × SNS
Ryo Ito
 
PDF
OpenID_Connect_Spec_Demo
Ryo Ito
 
PDF
OAuth 2.0 MAC Authentication
Ryo Ito
 
PDF
OAuth 2.0 Dance School #swj
Ryo Ito
 
PDF
Ritou idcon7
Ryo Ito
 
PDF
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
 
安全な"○○でログイン"の作り方 @ NDS in Niigata #1
Ryo Ito
 
idcon mini vol3 CovertRedirect
Ryo Ito
 
OpenID-TechNight-11-LT-mixi
Ryo Ito
 
Idcon 17th ritou OAuth 2.0 CSRF Protection
Ryo Ito
 
#idcon 15th ritou 2factor auth
Ryo Ito
 
Open id connect claims idcon mini vol1
Ryo Ito
 
Account Chooser idcon mini Vol.1
Ryo Ito
 
BackplaneProtocol超入門
Ryo Ito
 
UserManagedAccess_idcon13
Ryo Ito
 
WebIntents × SNS
Ryo Ito
 
OpenID_Connect_Spec_Demo
Ryo Ito
 
OAuth 2.0 MAC Authentication
Ryo Ito
 
OAuth 2.0 Dance School #swj
Ryo Ito
 
Ritou idcon7
Ryo Ito
 
Summary of OAuth 2.0 draft 8 memo
Ryo Ito
 

Idcon11 implicit demo