皆さん、こんにちは。技術開発グループのn-ozawanです。 寝違えました。首が痛いです。「寝違え 予防」と検索したら、「パソコン、スマホの使用時間を減らす」とありました。これも職業病なのかもしれません。 本題です。 Spring Security、難しいですよね。前回、KeycloakへのOIDC認証を行うコードを実装しました。その際、Spring Securityの動きについて簡単にしか触れていませんでしたので、今回はSpring Securityの動きを詳しく追っていきたいと思います。 Spring Security Spring Securityはフィルタで動く Spring Securityはフィルタで動作します。フィルタというのはサーブレットアプリの1つの機能です。通常、サーブレットによるWebアプリを構築する場合、業務ロジックをサーブレット(Servlet)に実装します。フィ
Spring Security 5の目玉であるOAuth 2.0(& OpenID Connect 1.0)の認可サーバと連携したログイン機能を、Spring Boot上で使う方法を紹介します。(今回はSpring Boot上で使う方法の紹介だけにとどめます→仕組みの話は乞うご期待!!) 動作検証バージョン Spring Boot 2.0.0.M7 Spring Security 5.0.0.RELEASE Tomcat 8.5.23 NOTE: 2017/12/2 : Spring Boot 2.0.0.M7 (Spring Security 5.0.0.RELEASE)ベースに書き換えました。 OAuthプロバイダ GitHub Note: ちなみに・・・Spring Securityは、GitHubの他に、Google、Facebook、Oktaをデフォルトでサポートしています。 デ
Spring Security は、包括的な OAuth 2.0 サポートを提供します。このセクションでは、OAuth 2.0 をサーブレットベースのアプリケーションに統合する方法について説明します。
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。本記事では、OAuth 2.0において、クライアントが認可サーバーにリクエストを行なってから、認可サーバーがクライアントにアクセストークンを発行するまでのやりとりの流れ(フロー)について、わかりやすく説明していきます。 認可サーバーが提供する2つのエンドポイント川崎貴彦氏:認可サーバーは基本的に2つのエンドポイントを提供します。その2つは、認可エンドポイントとトークンエンドポイントです。他にもさまざまな仕様があり、他のエンドポイントを定義している仕様もありますが今日は触れません。 このRFC 6749の仕様は、この2つのエンドポイントがどう動
version Spring Boot Starter Security 2.7.1 参考 まずは、下記の動画、documentを理解すると分かりやすいと思う。 https://www.youtube.com/watch?v=PKPj_MmLq5E https://qiita.com/TakahikoKawasaki/items/701e093b527d826fd62c また、下記のSpring Security OAuth2 LoginとLINEログインのdocumentも理解すると分かりやすいと思う。 https://spring.pleiades.io/spring-security/reference/servlet/oauth2/login/core.html#oauth2login-sample-redirect-uri https://developers.line.biz/
Spring Boot にて、Azure Active DirectoryのOAuth2認証を利用してみます。 Azure Active Directory用の Spring Boot Starterが用意されているので簡単に実装することができます。 Azure Active Directory 用の Spring Boot Starter の使用方法 | Microsoft Learn 今回確認に利用したプロジェクト全体は、下記に配置しています。 https://github.com/onozaty/spring-boot-sandbox/tree/master/spring-boot-27-azure-ad-oauth Azure Active Directory側での準備 Azure Active Directory側で下記を用意しておく必要があります。 (テナントが未作成なら)テナ
はじめに なぜこんな記事を書こうと思ったかというと、認証・認可について僕がなあなあになっている気がしたので、改めて自分の中で整理したかった為です。 認証 (Authentication) あるウェブサイトにユーザがログインした際に誰なのかを確認することを指します。 本人確認をイメージすると分かりやすいかもです。 認可 (Authorization) 認証したユーザに対して、リソースのアクセス権限をどこまで与えるか決定することです。 フェデレーテッドログイン これは、例えばあるサービスがあった場合にそのサービス以外が管理するIDを利用してログインする方法です。 実装パターン 以下に実装パターンをいくつか紹介しますが、だいたい今はOAuth 2.0かOpenID Connect(別記事で書きます。)ですねw シングルサインオン シングルサインオンは、各システム間のアカウント管理を別々に行わず、
はじめに この記事では、OAuth 2.0 の認可サーバーが返す認可レスポンスと、それに伴うリダイレクト処理について説明します。 動画解説のほうがお好みであれば、オンライン勉強会『OAuth & OIDC 勉強会 【認可リクエスト編】』の『3. リダイレクション』をご覧ください。 認可レスポンス RFC 6749(The OAuth 2.0 Authorization Framework)には、アクセストークン発行フローが幾つか定義されています(参考:OAuth 2.0 全フローの図解と動画)。 それらのうち、認可コードフロー(RFC 6749, 4.1. Authorization Code Grant)とインプリシットフロー(RFC 6749, 4.2. Implicit Grant)では、クライアントアプリケーションが Web ブラウザを介して認可サーバーの認可エンドポイント(RFC
サーバーは、受け取ったクライアント証明書の主体識別情報が事前登録されているものと一致することを確認し、もってクライアント認証とします。 このクライアント認証方式には tls_client_auth という名前が与えられています(MTLS, 2.1.1. PKI Method Metadata Value)。 なお、クライアント証明書には OAuth 2.0 の文脈におけるクライアント ID は入っていないので、クライアント証明書だけではクライアントを特定することはできません。そのため、クライアント証明書を用いるクライアント認証をおこなう際は、別途クライアント ID をリクエストに含める必要があります。通常は client_id リクエストパラメーターが使用されます。 1.8. self_signed_tls_client_auth クライアント証明書を用いるクライアント認証において、PKI
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
※この記事は別アカウント(hyiromori)から引っ越しました はじめに 最近、個人的に認証認可周りを学習していて、その過程でOAuth2.0について学習している内容をまとめた記事です。 世の中には既にOAuth2.0に関する優れた書籍やブログ記事が沢山ありますが、自分が学習する過程で色々なものを読むことでより理解が深まったと思うので、自分も学習したものをアウトプットすることで同じように学習している人の理解の助けになればと思い書きました。 まだ私も学習中なので、もし間違ったところなどあればコメント頂けるとありがたいです。 注意点 この記事内ではOAuth2.0で定義されているフロー の1つ、認可コードによる付与(Authorization Code Grant)についてまとめています。 たくさんの仕様をいきなり網羅的にまとめるのは難しいので、1つに絞って今回はまとめています。 OAuth
SAML(サムル:Security Assertion Markup Language)とは、異なるドメインとドメインの間でもユーザー認証が可能になるマークアップ言語です。 本記事では、シングルサインオンを実現するための技術の1つであるSAMLと、OAuthとの違いについて解説します。 目次 SAML(サムル:Security Assertion Markup Language)とは、異なるドメインとドメインの間でもユーザー認証が可能になるXMLをベースとした標準規格です。 近年、効率化とセキュリティ強化のために注目されているシングルサインオン(SSO:Single Sign On)を実現するための技術の1つで、ユーザーを認証する際に属性情報(例えば所属の部門など)も付与できるという特徴があります。したがって、シングルサインオンだけでなくアクセス制限も可能にします。 SAMLの仕組み SA
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く