トークン
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>認証基盤]]
* 目次 [#h992f734]
#contents
*概要 [#efb6fb2e]
[[トークンには色々な意味があるが、>http://e-words.jp/w/%E...
ここでは、セキュリティ対策や認証・認可などの処理のための、~
認証チケット(証拠)などので使用するトークンについて説明...
*用語 [#z3b25ede]
**クレーム(クレームセット) [#b5414871]
-対象となるエンティティ("サブジェクト")に関する事実の情報
-クレームの集合が、クレームセットになる。
**アサーションとトークン [#efc85f9f]
-以下の様な標準仕様を見ると、
--Assertions and Protocols for the OASIS SAMLV2.0
--RFC 7519 - JSON Web Token (JWT)
-それぞれ、以下のように定義されている。
--[[トークン>#if523ce8]] :~
「複数の[[クレーム(クレームセット)>#b5414871]]」を格納...
--[[トークン>#if523ce8]]・プロファイル :~
「[[アサーション>#xbeb945f]]」のフォーマット
-・・・従って、「[[アサーション>#xbeb945f]]」≒「[[トーク...
***アサーション [#xbeb945f]
≒ 表明:(自分の考え・決意などを、)はっきりあらわし示す...
プログラムの前提として満たされるべき条件を記述するもの。
-複数の[[クレーム(クレームセット)>#b5414871]]から構成さ...
--何らかの対象に関する属性や設定などの情報を列挙した、デ...
--認証・認可では、単なる属性ではなく、認証ユーザのIDや資...
その他の属性情報の表明のためのデータ集合として使用される。
--標準化された技術仕様において、~
適用場面の限られたオプション仕様などのことをプロファイル...
-以下、RFC7521からの引用。
--セキュリティドメイン間でIDとセキュリティ情報の共有を容...
--アサーションには、通常、以下のような情報が含まれる。
---主体または主体に関する情報
---アサーションを発行した当事者に関する情報
---およびアサーションが発行された日時
---およびアサーションが有効であるとみなされる条件~
(たとえば、いつどこで使用できるかなど)
--用語
---発行者~
アサーションを作成し、署名し、完全性保護するエンティティ
---依拠当事者~
アサーションを消費し、その情報に依存するエンティティ
***トークン [#oe033372]
上記の文脈上からは、
-先ず、[[SAML]][[アサーション>#xbeb945f]]や[[JWT]][[アサ...
-それを[[SAML]]や[[OAuth]]、[[OpenID Connect]]で使用する...
オプション仕様を、「トークン・プロファイル」と言う。
ざっくり、[[アサーション>#xbeb945f]]を実際に使うとトーク...
解り易いのが、[[JWT]][[アサーション>#xbeb945f]]をアクセス...
*トークンの種類 [#i8de040f]
**セキュリティ トークン [#pa932cd4]
当該アクセスに添付され認証・認可をするための[[アサーショ...
従って、以下が含まれた情報。
-認証・認可に必要な[[クレームから構成されるクレームセット...
-認証オーソリティによって上記に署名を加えたコントラクト(...
署名には、暗号化技術が使用され、改ざん等が無いか検証可能...
***SSOソフトウェア [#v2982248]
-シームレスな認証や、password fillingを行なう場合がある。
-同様に、暗号化技術が使用され、改ざん等が無いか検証可能に...
***ワンタイムパスワード [#b3253de1]
-ログイン毎や、時間経過で変化するタイプ
-チャレンジ&レスポンスなどもワンタイムパスワード
***Authorizationヘッダ [#qcca7e53]
-Digest認証、Basic認証のCredentialもある種の認証トークン...
ユーザIDとパスワードの情報を含んでいる([[クレームセット>...
-Authorizationヘッダ情報に設定される。~
以下を参照するとBearer Token も OAuth に限らず、~
一般的な HTTP 認証トークンとして使用可能であるもよう。
--[[OAuth2.0を認証に使用する際の問題点とその対応方法>OAut...
-- RFC 7235 で "Authorization: auth-scheme (token68 / aut...
"auth-scheme" には Basic, Digest に加え Bearerが登録済み...
---トークンを利用した認証・認可 API を実装するとき~
Authorization: Bearer ヘッダを使っていいのか調べた - Qiita~
http://qiita.com/uasi/items/cfb60588daa18c2ec6f5
***[[SAML]] / [[OpenID]]関連 [#b38de47f]
-持参人切符 : Bearer Token
--通常の[[OAuth]]のTokenは「bearer・token」。
--「bear (持ってきた)+ er(人)」=「持参人」。
--具体的には「電車」の「切符」のこと。
--持参人は誰でも、切符が有効ならば利用可能。
-記名式切符 :~
Sender Constrained Token, User Constrained Token, ~
Holder-of-Key Token, Proof-of-possession Token.~
--上記「切符」に対し、名前が書かれた「国際線」の「ボーデ...
--ゲートでは、名前・顔とパスポートの記載が一致するかを確...
--誰かがボーディングパスを盗んでも、使うことはできない(...
- MAC Token
--Accessトークンと共にMessage Authentication Code (MAC)キ...
--MACキーはHTTPリクエストの一部分を署名するのに利用される。
-参考
--The OAuth 2.0 Authorization Framework: Bearer Token Usa...
http://openid-foundation-japan.github.io/rfc6750.ja.html
--draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authen...
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac
--OAuthで「記名式」トークンを使うもう一つの方法 | @_Nat Z...
https://www.sakimura.org/2017/04/3765/
--OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わっ...
http://d.hatena.ne.jp/ritou/20110402/1301679908
--OAuth アクセストークンの実装に関する考察 - Qiita~
https://qiita.com/TakahikoKawasaki/items/970548727761f9e0...
**ハード / ソフト [#f5d6d60c]
***ハード [#a7f7c849]
-タイプ
--キーホルダタイプ
--カードタイプ
--USBタイプ
-ワンタイムパスワード生成
--ワンボタン
--キーパッド
***ソフト [#n6f91d9b]
**その他 [#r7f60170]
***CSRF対策用トークン [#q7727519]
CSRFを防止するための単なる乱数もトークンと呼んだりする。
-参考
--Webセキュリティの小部屋
---CSRF の安全なトークンの作成方法~
https://www.websec-room.com/2013/03/05/431
---CSRF の安全なトークンの作成方法(PHP編)~
https://www.websec-room.com/2013/03/05/443
---CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)~
https://www.websec-room.com/2013/03/05/451
*参考 [#c637467b]
以下の様な、多様なトークンがある。
-セキュリティトークンの種類を学ぼう|株式会社テリロジー~
http://www.terilogy.com/product/vasco/token_type.html
-セキュリティトークン - Wikipedia > 3.トークンのタイプ~
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5...
**[[JWT]] [#fd775748]
**[[CWT]] [#oa2f2501]
**[[SAML]] [#q3cc7c76]
**サンプルコード [#id12d1eb]
-cose-wg/COSE-csharp: COSE Implementation using C#~
https://github.com/cose-wg/COSE-csharp
----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:暗号化]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>認証基盤]]
* 目次 [#h992f734]
#contents
*概要 [#efb6fb2e]
[[トークンには色々な意味があるが、>http://e-words.jp/w/%E...
ここでは、セキュリティ対策や認証・認可などの処理のための、~
認証チケット(証拠)などので使用するトークンについて説明...
*用語 [#z3b25ede]
**クレーム(クレームセット) [#b5414871]
-対象となるエンティティ("サブジェクト")に関する事実の情報
-クレームの集合が、クレームセットになる。
**アサーションとトークン [#efc85f9f]
-以下の様な標準仕様を見ると、
--Assertions and Protocols for the OASIS SAMLV2.0
--RFC 7519 - JSON Web Token (JWT)
-それぞれ、以下のように定義されている。
--[[トークン>#if523ce8]] :~
「複数の[[クレーム(クレームセット)>#b5414871]]」を格納...
--[[トークン>#if523ce8]]・プロファイル :~
「[[アサーション>#xbeb945f]]」のフォーマット
-・・・従って、「[[アサーション>#xbeb945f]]」≒「[[トーク...
***アサーション [#xbeb945f]
≒ 表明:(自分の考え・決意などを、)はっきりあらわし示す...
プログラムの前提として満たされるべき条件を記述するもの。
-複数の[[クレーム(クレームセット)>#b5414871]]から構成さ...
--何らかの対象に関する属性や設定などの情報を列挙した、デ...
--認証・認可では、単なる属性ではなく、認証ユーザのIDや資...
その他の属性情報の表明のためのデータ集合として使用される。
--標準化された技術仕様において、~
適用場面の限られたオプション仕様などのことをプロファイル...
-以下、RFC7521からの引用。
--セキュリティドメイン間でIDとセキュリティ情報の共有を容...
--アサーションには、通常、以下のような情報が含まれる。
---主体または主体に関する情報
---アサーションを発行した当事者に関する情報
---およびアサーションが発行された日時
---およびアサーションが有効であるとみなされる条件~
(たとえば、いつどこで使用できるかなど)
--用語
---発行者~
アサーションを作成し、署名し、完全性保護するエンティティ
---依拠当事者~
アサーションを消費し、その情報に依存するエンティティ
***トークン [#oe033372]
上記の文脈上からは、
-先ず、[[SAML]][[アサーション>#xbeb945f]]や[[JWT]][[アサ...
-それを[[SAML]]や[[OAuth]]、[[OpenID Connect]]で使用する...
オプション仕様を、「トークン・プロファイル」と言う。
ざっくり、[[アサーション>#xbeb945f]]を実際に使うとトーク...
解り易いのが、[[JWT]][[アサーション>#xbeb945f]]をアクセス...
*トークンの種類 [#i8de040f]
**セキュリティ トークン [#pa932cd4]
当該アクセスに添付され認証・認可をするための[[アサーショ...
従って、以下が含まれた情報。
-認証・認可に必要な[[クレームから構成されるクレームセット...
-認証オーソリティによって上記に署名を加えたコントラクト(...
署名には、暗号化技術が使用され、改ざん等が無いか検証可能...
***SSOソフトウェア [#v2982248]
-シームレスな認証や、password fillingを行なう場合がある。
-同様に、暗号化技術が使用され、改ざん等が無いか検証可能に...
***ワンタイムパスワード [#b3253de1]
-ログイン毎や、時間経過で変化するタイプ
-チャレンジ&レスポンスなどもワンタイムパスワード
***Authorizationヘッダ [#qcca7e53]
-Digest認証、Basic認証のCredentialもある種の認証トークン...
ユーザIDとパスワードの情報を含んでいる([[クレームセット>...
-Authorizationヘッダ情報に設定される。~
以下を参照するとBearer Token も OAuth に限らず、~
一般的な HTTP 認証トークンとして使用可能であるもよう。
--[[OAuth2.0を認証に使用する際の問題点とその対応方法>OAut...
-- RFC 7235 で "Authorization: auth-scheme (token68 / aut...
"auth-scheme" には Basic, Digest に加え Bearerが登録済み...
---トークンを利用した認証・認可 API を実装するとき~
Authorization: Bearer ヘッダを使っていいのか調べた - Qiita~
http://qiita.com/uasi/items/cfb60588daa18c2ec6f5
***[[SAML]] / [[OpenID]]関連 [#b38de47f]
-持参人切符 : Bearer Token
--通常の[[OAuth]]のTokenは「bearer・token」。
--「bear (持ってきた)+ er(人)」=「持参人」。
--具体的には「電車」の「切符」のこと。
--持参人は誰でも、切符が有効ならば利用可能。
-記名式切符 :~
Sender Constrained Token, User Constrained Token, ~
Holder-of-Key Token, Proof-of-possession Token.~
--上記「切符」に対し、名前が書かれた「国際線」の「ボーデ...
--ゲートでは、名前・顔とパスポートの記載が一致するかを確...
--誰かがボーディングパスを盗んでも、使うことはできない(...
- MAC Token
--Accessトークンと共にMessage Authentication Code (MAC)キ...
--MACキーはHTTPリクエストの一部分を署名するのに利用される。
-参考
--The OAuth 2.0 Authorization Framework: Bearer Token Usa...
http://openid-foundation-japan.github.io/rfc6750.ja.html
--draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authen...
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac
--OAuthで「記名式」トークンを使うもう一つの方法 | @_Nat Z...
https://www.sakimura.org/2017/04/3765/
--OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わっ...
http://d.hatena.ne.jp/ritou/20110402/1301679908
--OAuth アクセストークンの実装に関する考察 - Qiita~
https://qiita.com/TakahikoKawasaki/items/970548727761f9e0...
**ハード / ソフト [#f5d6d60c]
***ハード [#a7f7c849]
-タイプ
--キーホルダタイプ
--カードタイプ
--USBタイプ
-ワンタイムパスワード生成
--ワンボタン
--キーパッド
***ソフト [#n6f91d9b]
**その他 [#r7f60170]
***CSRF対策用トークン [#q7727519]
CSRFを防止するための単なる乱数もトークンと呼んだりする。
-参考
--Webセキュリティの小部屋
---CSRF の安全なトークンの作成方法~
https://www.websec-room.com/2013/03/05/431
---CSRF の安全なトークンの作成方法(PHP編)~
https://www.websec-room.com/2013/03/05/443
---CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)~
https://www.websec-room.com/2013/03/05/451
*参考 [#c637467b]
以下の様な、多様なトークンがある。
-セキュリティトークンの種類を学ぼう|株式会社テリロジー~
http://www.terilogy.com/product/vasco/token_type.html
-セキュリティトークン - Wikipedia > 3.トークンのタイプ~
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5...
**[[JWT]] [#fd775748]
**[[CWT]] [#oa2f2501]
**[[SAML]] [#q3cc7c76]
**サンプルコード [#id12d1eb]
-cose-wg/COSE-csharp: COSE Implementation using C#~
https://github.com/cose-wg/COSE-csharp
----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:暗号化]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
