トークン
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>認証基盤]]
* 目次 [#h992f734]
#contents
*概要 [#efb6fb2e]
[[トークンには色々な意味があるが、>http://e-words.jp/w/%E...
ここでは、セキュリティ対策や認証・認可などの処理のための、~
認証チケット(証拠)などので使用するトークンについて説明...
*トークンの種類 [#i8de040f]
認証・認可で使用するトークンにも様々なものがアル。
**セキュリティ トークン [#pa932cd4]
-コンピュータ・サービスの利用権限のある利用者に、~
認証の助けとなるよう与えられる物理デバイス
-ハードウェア・トークン、認証トークン、暗号トークンとも呼...
***タイプ [#u3b82234]
以下のようなタイプが有り、基本的に物理デバイスのもの。
-Bluetooth型トークン
-携帯電話
-非接続型トークン
-PCカード型トークン
-スマートカード型トークン
-USB型トークン
-スマートカード・USB型トークン
※ 昨今の物理デバイス上の[[TPM>TPM(Trusted Platform Modul...
ソフトウェア・トークンも入れて良さそう。
***実装 [#v2982248]
-デジタル署名
--利用者だけが署名鍵にアクセスできることが満たされている...
--署名は利用者の識別情報の証明にも使えるので、ユーザ認証...
-SSOソフトウェア
--シームレスな認証や、password fillingを行なう場合がある。
--同様に、暗号化技術が使用され、改ざん等が無いか検証可能...
-ワンタイムパスワード
--ログイン毎や、時間経過で変化するタイプ
--チャレンジ&レスポンスなどもワンタイムパスワード
**認証・認可プロトコルのトークン [#ga0b7270]
当該アクセスに添付され認証・認可をするための[[アサーショ...
従って、以下が含まれた情報。
-認証・認可に必要な[[クレームから構成されるクレームセット...
-認証オーソリティによって上記に署名を加えたコントラクト(...
署名には、暗号化技術が使用され、改ざん等が無いか検証可能...
***Authorizationヘッダ [#qcca7e53]
-Digest認証、Basic認証のCredentialもある種の認証トークン...
ユーザIDとパスワードの情報を含んでいる([[クレームセット>...
-Authorizationヘッダ情報に設定される。~
以下を参照するとBearer Token も OAuth に限らず、~
一般的な HTTP 認証トークンとして使用可能であるもよう。
--[[OAuth2.0を認証に使用する際の問題点とその対応方法>OAut...
-- RFC 7235 で "Authorization: auth-scheme (token68 / aut...
"auth-scheme" には Basic, Digest に加え Bearerが登録済み...
---トークンを利用した認証・認可 API を実装するとき~
Authorization: Bearer ヘッダを使っていいのか調べた - Qiita~
http://qiita.com/uasi/items/cfb60588daa18c2ec6f5
***[[SAML]] / [[OpenID]]関連 [#b38de47f]
-持参人切符 : Bearer Token
--通常の[[OAuth]]のTokenは「bearer・token」。
--「bear (持ってきた)+ er(人)」=「持参人」。
--具体的には「電車」の「切符」のこと。
--持参人は誰でも、切符が有効ならば利用可能。
-記名式切符 :~
Sender Constrained Token, User Constrained Token, ~
Holder-of-Key Token, Proof-of-possession Token.~
--上記「切符」に対し、名前が書かれた「国際線」の「ボーデ...
--ゲートでは、名前・顔とパスポートの記載が一致するかを確...
--誰かがボーディングパスを盗んでも、使うことはできない(...
- MAC Token
--Accessトークンと共にMessage Authentication Code (MAC)キ...
--MACキーはHTTPリクエストの一部分を署名するのに利用される。
-参考
--The OAuth 2.0 Authorization Framework: Bearer Token Usa...
http://openid-foundation-japan.github.io/rfc6750.ja.html
--draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authen...
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac
--OAuthで「記名式」トークンを使うもう一つの方法 | @_Nat Z...
https://www.sakimura.org/2017/04/3765/
--OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わっ...
http://d.hatena.ne.jp/ritou/20110402/1301679908
--OAuth アクセストークンの実装に関する考察 - Qiita~
https://qiita.com/TakahikoKawasaki/items/970548727761f9e0...
**その他 [#r7f60170]
***SASトークン [#w01b1c2d]
-SAS:Shared Access Signatures(共有アクセス署名)
-1 つまたは複数のリソースを指す署名付き URI
-昨今、クラウド関連のサービスで使用されることが多い。
-One Driveの共有(URL)のような機能で利用されることが多い。
--URIのトークン(QueryStringのパラメタセット)が含まれて...
--パラメタの 1 つにパラメタセットに対する署名がある。
--リソースへのクライアントのアクセス方法を示す(認可)。
-基本的に、ポータルなどから入手することが多いが、~
プログラムから、SASトークンを生成することもできる。~
(必要なパラメタセットを署名することで生成できる)
-以下の様なサービスで使用されている。
--[[Azure IoT Hub]]
--[[Azureのストレージ]]
***CSRF対策用トークン [#q7727519]
-認証・認可用ではないが、CSRFを防止するための単なる乱数も...
-正規のリクエストなのか、攻撃者のリクエストなのかを判断で...
*用語 [#z3b25ede]
[[認証・認可プロトコルのトークン>#ga0b7270]]の用語。
※ [[セキュリティ トークン>#pa932cd4]]にはあまり難しい用語...
**クレーム(クレームセット) [#b5414871]
-対象となるエンティティ("サブジェクト")に関する事実の情報
-クレームの集合が、クレームセットになる。
**アサーションとトークン [#efc85f9f]
-以下の様な標準仕様を見ると、
--Assertions and Protocols for the OASIS SAMLV2.0
--RFC 7519 - JSON Web Token (JWT)
-それぞれ、以下のように定義されている。
--[[トークン>#if523ce8]] :~
「複数の[[クレーム(クレームセット)>#b5414871]]」を格納...
--[[トークン>#if523ce8]]・プロファイル :~
「[[アサーション>#xbeb945f]]」のフォーマット
-・・・従って、「[[アサーション>#xbeb945f]]」≒「[[トーク...
***アサーション [#xbeb945f]
≒ 表明:(自分の考え・決意などを、)はっきりあらわし示す...
プログラムの前提として満たされるべき条件を記述するもの。
-複数の[[クレーム(クレームセット)>#b5414871]]から構成さ...
--何らかの対象に関する属性や設定などの情報を列挙した、デ...
--認証・認可では、単なる属性ではなく、認証ユーザのIDや資...
その他の属性情報の表明のためのデータ集合として使用される。
--標準化された技術仕様において、~
適用場面の限られたオプション仕様などのことをプロファイル...
-以下、RFC7521からの引用。
--セキュリティドメイン間でIDとセキュリティ情報の共有を容...
--アサーションには、通常、以下のような情報が含まれる。
---主体または主体に関する情報
---アサーションを発行した当事者に関する情報
---およびアサーションが発行された日時
---およびアサーションが有効であるとみなされる条件~
(たとえば、いつどこで使用できるかなど)
--用語
---発行者~
アサーションを作成し、署名し、完全性保護するエンティティ
---依拠当事者~
アサーションを消費し、その情報に依存するエンティティ
***トークン [#oe033372]
上記の文脈上からは、
-先ず、[[SAML]][[アサーション>#xbeb945f]]や[[JWT]][[アサ...
-それを[[SAML]]や[[OAuth]]、[[OpenID Connect]]で使用する...
オプション仕様を、「トークン・プロファイル」と言う。
ざっくり、[[アサーション>#xbeb945f]]を実際に使うとトーク...
解り易いのが、[[JWT]][[アサーション>#xbeb945f]]をアクセス...
*参考 [#c637467b]
以下の様な、多様なトークンがある。
**セキュリティ トークン [#la7931c0]
-セキュリティトークンの種類を学ぼう|株式会社テリロジー~
http://www.terilogy.com/product/vasco/token_type.html
-セキュリティトークン - Wikipedia > 3.トークンのタイプ~
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5...
**認証・認可プロトコルのトークン [#r16cd84c]
***[[JWT]] [#fd775748]
***[[CWT]] [#oa2f2501]
***[[SAML]] [#q3cc7c76]
***サンプルコード [#id12d1eb]
-cose-wg/COSE-csharp: COSE Implementation using C#~
https://github.com/cose-wg/COSE-csharp
**その他 [#e62555e6]
***SASトークン [#c4830d1b]
-Shared Access Signatures (SAS) でデータの制限付きアクセ...
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
***CSRF対策用トークン [#bd7bfae4]
-Webセキュリティの小部屋
--CSRF の安全なトークンの作成方法~
https://www.websec-room.com/2013/03/05/431
--CSRF の安全なトークンの作成方法(PHP編)~
https://www.websec-room.com/2013/03/05/443
--CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)~
https://www.websec-room.com/2013/03/05/451
----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:暗号化]]
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>認証基盤]]
* 目次 [#h992f734]
#contents
*概要 [#efb6fb2e]
[[トークンには色々な意味があるが、>http://e-words.jp/w/%E...
ここでは、セキュリティ対策や認証・認可などの処理のための、~
認証チケット(証拠)などので使用するトークンについて説明...
*トークンの種類 [#i8de040f]
認証・認可で使用するトークンにも様々なものがアル。
**セキュリティ トークン [#pa932cd4]
-コンピュータ・サービスの利用権限のある利用者に、~
認証の助けとなるよう与えられる物理デバイス
-ハードウェア・トークン、認証トークン、暗号トークンとも呼...
***タイプ [#u3b82234]
以下のようなタイプが有り、基本的に物理デバイスのもの。
-Bluetooth型トークン
-携帯電話
-非接続型トークン
-PCカード型トークン
-スマートカード型トークン
-USB型トークン
-スマートカード・USB型トークン
※ 昨今の物理デバイス上の[[TPM>TPM(Trusted Platform Modul...
ソフトウェア・トークンも入れて良さそう。
***実装 [#v2982248]
-デジタル署名
--利用者だけが署名鍵にアクセスできることが満たされている...
--署名は利用者の識別情報の証明にも使えるので、ユーザ認証...
-SSOソフトウェア
--シームレスな認証や、password fillingを行なう場合がある。
--同様に、暗号化技術が使用され、改ざん等が無いか検証可能...
-ワンタイムパスワード
--ログイン毎や、時間経過で変化するタイプ
--チャレンジ&レスポンスなどもワンタイムパスワード
**認証・認可プロトコルのトークン [#ga0b7270]
当該アクセスに添付され認証・認可をするための[[アサーショ...
従って、以下が含まれた情報。
-認証・認可に必要な[[クレームから構成されるクレームセット...
-認証オーソリティによって上記に署名を加えたコントラクト(...
署名には、暗号化技術が使用され、改ざん等が無いか検証可能...
***Authorizationヘッダ [#qcca7e53]
-Digest認証、Basic認証のCredentialもある種の認証トークン...
ユーザIDとパスワードの情報を含んでいる([[クレームセット>...
-Authorizationヘッダ情報に設定される。~
以下を参照するとBearer Token も OAuth に限らず、~
一般的な HTTP 認証トークンとして使用可能であるもよう。
--[[OAuth2.0を認証に使用する際の問題点とその対応方法>OAut...
-- RFC 7235 で "Authorization: auth-scheme (token68 / aut...
"auth-scheme" には Basic, Digest に加え Bearerが登録済み...
---トークンを利用した認証・認可 API を実装するとき~
Authorization: Bearer ヘッダを使っていいのか調べた - Qiita~
http://qiita.com/uasi/items/cfb60588daa18c2ec6f5
***[[SAML]] / [[OpenID]]関連 [#b38de47f]
-持参人切符 : Bearer Token
--通常の[[OAuth]]のTokenは「bearer・token」。
--「bear (持ってきた)+ er(人)」=「持参人」。
--具体的には「電車」の「切符」のこと。
--持参人は誰でも、切符が有効ならば利用可能。
-記名式切符 :~
Sender Constrained Token, User Constrained Token, ~
Holder-of-Key Token, Proof-of-possession Token.~
--上記「切符」に対し、名前が書かれた「国際線」の「ボーデ...
--ゲートでは、名前・顔とパスポートの記載が一致するかを確...
--誰かがボーディングパスを盗んでも、使うことはできない(...
- MAC Token
--Accessトークンと共にMessage Authentication Code (MAC)キ...
--MACキーはHTTPリクエストの一部分を署名するのに利用される。
-参考
--The OAuth 2.0 Authorization Framework: Bearer Token Usa...
http://openid-foundation-japan.github.io/rfc6750.ja.html
--draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authen...
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac
--OAuthで「記名式」トークンを使うもう一つの方法 | @_Nat Z...
https://www.sakimura.org/2017/04/3765/
--OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わっ...
http://d.hatena.ne.jp/ritou/20110402/1301679908
--OAuth アクセストークンの実装に関する考察 - Qiita~
https://qiita.com/TakahikoKawasaki/items/970548727761f9e0...
**その他 [#r7f60170]
***SASトークン [#w01b1c2d]
-SAS:Shared Access Signatures(共有アクセス署名)
-1 つまたは複数のリソースを指す署名付き URI
-昨今、クラウド関連のサービスで使用されることが多い。
-One Driveの共有(URL)のような機能で利用されることが多い。
--URIのトークン(QueryStringのパラメタセット)が含まれて...
--パラメタの 1 つにパラメタセットに対する署名がある。
--リソースへのクライアントのアクセス方法を示す(認可)。
-基本的に、ポータルなどから入手することが多いが、~
プログラムから、SASトークンを生成することもできる。~
(必要なパラメタセットを署名することで生成できる)
-以下の様なサービスで使用されている。
--[[Azure IoT Hub]]
--[[Azureのストレージ]]
***CSRF対策用トークン [#q7727519]
-認証・認可用ではないが、CSRFを防止するための単なる乱数も...
-正規のリクエストなのか、攻撃者のリクエストなのかを判断で...
*用語 [#z3b25ede]
[[認証・認可プロトコルのトークン>#ga0b7270]]の用語。
※ [[セキュリティ トークン>#pa932cd4]]にはあまり難しい用語...
**クレーム(クレームセット) [#b5414871]
-対象となるエンティティ("サブジェクト")に関する事実の情報
-クレームの集合が、クレームセットになる。
**アサーションとトークン [#efc85f9f]
-以下の様な標準仕様を見ると、
--Assertions and Protocols for the OASIS SAMLV2.0
--RFC 7519 - JSON Web Token (JWT)
-それぞれ、以下のように定義されている。
--[[トークン>#if523ce8]] :~
「複数の[[クレーム(クレームセット)>#b5414871]]」を格納...
--[[トークン>#if523ce8]]・プロファイル :~
「[[アサーション>#xbeb945f]]」のフォーマット
-・・・従って、「[[アサーション>#xbeb945f]]」≒「[[トーク...
***アサーション [#xbeb945f]
≒ 表明:(自分の考え・決意などを、)はっきりあらわし示す...
プログラムの前提として満たされるべき条件を記述するもの。
-複数の[[クレーム(クレームセット)>#b5414871]]から構成さ...
--何らかの対象に関する属性や設定などの情報を列挙した、デ...
--認証・認可では、単なる属性ではなく、認証ユーザのIDや資...
その他の属性情報の表明のためのデータ集合として使用される。
--標準化された技術仕様において、~
適用場面の限られたオプション仕様などのことをプロファイル...
-以下、RFC7521からの引用。
--セキュリティドメイン間でIDとセキュリティ情報の共有を容...
--アサーションには、通常、以下のような情報が含まれる。
---主体または主体に関する情報
---アサーションを発行した当事者に関する情報
---およびアサーションが発行された日時
---およびアサーションが有効であるとみなされる条件~
(たとえば、いつどこで使用できるかなど)
--用語
---発行者~
アサーションを作成し、署名し、完全性保護するエンティティ
---依拠当事者~
アサーションを消費し、その情報に依存するエンティティ
***トークン [#oe033372]
上記の文脈上からは、
-先ず、[[SAML]][[アサーション>#xbeb945f]]や[[JWT]][[アサ...
-それを[[SAML]]や[[OAuth]]、[[OpenID Connect]]で使用する...
オプション仕様を、「トークン・プロファイル」と言う。
ざっくり、[[アサーション>#xbeb945f]]を実際に使うとトーク...
解り易いのが、[[JWT]][[アサーション>#xbeb945f]]をアクセス...
*参考 [#c637467b]
以下の様な、多様なトークンがある。
**セキュリティ トークン [#la7931c0]
-セキュリティトークンの種類を学ぼう|株式会社テリロジー~
http://www.terilogy.com/product/vasco/token_type.html
-セキュリティトークン - Wikipedia > 3.トークンのタイプ~
https://ja.wikipedia.org/wiki/%E3%82%BB%E3%82%AD%E3%83%A5...
**認証・認可プロトコルのトークン [#r16cd84c]
***[[JWT]] [#fd775748]
***[[CWT]] [#oa2f2501]
***[[SAML]] [#q3cc7c76]
***サンプルコード [#id12d1eb]
-cose-wg/COSE-csharp: COSE Implementation using C#~
https://github.com/cose-wg/COSE-csharp
**その他 [#e62555e6]
***SASトークン [#c4830d1b]
-Shared Access Signatures (SAS) でデータの制限付きアクセ...
https://docs.microsoft.com/ja-jp/azure/storage/common/sto...
***CSRF対策用トークン [#bd7bfae4]
-Webセキュリティの小部屋
--CSRF の安全なトークンの作成方法~
https://www.websec-room.com/2013/03/05/431
--CSRF の安全なトークンの作成方法(PHP編)~
https://www.websec-room.com/2013/03/05/443
--CSRF の安全なトークンの作成方法(ASP.NET,C#,VB.NET編)~
https://www.websec-room.com/2013/03/05/451
----
Tags: [[:セキュリティ]], [[:認証基盤]], [[:暗号化]]
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
