Home » Foundation » Ministry of Economy, Trade and Industry and OpenID Foundation in Liaison Agreement on eKYC & IDA for Legal Entities The OpenID Foundation (OIDF), the international standards development organization which maintains the OpenID Connect for Identity Assurance (OIDC4IDA) standard, and the Japanese Government’s Ministry of Economy, Trade and Industry (METI) have signed a liaison agr
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
なりすましは可能か——OpenIDとリプレイ攻撃 次にリプレイ攻撃(Replay Attack)について触れます。リプレイ攻撃とは簡単に説明すると、「パスワードや暗号鍵、あるいは認証済みのセッションデータなどを再利用してそのユーザーになりすます攻撃」といえます。OpenIDでもこのような攻撃が可能でしょうか?——答えは可能です。 id_resモードによってIdPからUserAgentを介してConsumerに渡される認証結果文字列を再度利用することによりConsumerサイトにおいてそのユーザーとして認可されてしまうでしょう。 これはちょっとしたConsumer側の対策で簡単に防ぐことができます。OpenIDの認証トランザクションが開始する際にConsumer側で独自のnonce(ハッシュを用いたなりすまし防止のためのランダムな文字列)をエンドユーザーに対して発行します。このnonceはユ
livedoor Authの運営終了のお知らせ 2021年3月末をもちまして、livedoor Authの運営を終了いたしました。 長きに渡りご愛顧をいただきまして、誠にありがとうございました。 livedoorホームへ戻る
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
