📢明日6/24(火) 15:00よりオンライン開催の「#OAuth & #OpenID Connect勉強会 ー #API公開 におけるOAuth実装のポイント」への参加登録の締め切りは、本日16:00 です。API公開を検討中の方、OAuth実装のベストプラクティスを学びたい方は、ぜひご参加ください！ authlete.connpass.com/event/356558/

Authleteのおかげで、自前の認可及び認証サービスが無事3ヶ月運用できている。

cedar-javaライブラリのAuthorizationResponse.SuccessOrFailureは、enumの名称としては、今までの人生で目にしたコードの中で最悪に躍り出たかもしらん。 github.com/cedar-policy/c…

Authlete's Joseph Heenan and Daniel Fett, authors of the FAPI 2.0 Security Profile, explain how #FAPI2 offers enhanced security and interoperability and why you should consider implementing it now. youtube.com/watch?v=jTXKYq… #OAuth #OIDC #OpenID

アクセストークンに Cedar Policy を関連付け、アクセス許可・拒否判定に利用する仕組みが想定通りに動き始めた。基本的なアイディアは、RAR オブジェクト (RFC 9396) に Cedar Policy を埋め込むというもの。将来気が向いて時間ができたら標準仕様として提案するかもしれない。

radiko, Japan’s largest radio streaming platform, deploys Authlete to implement OpenID Connect (OIDC) into its customer identity infrastructure. Discover how Authlete helps improve operational efficiency and the stability of radiko's #OIDC infrastructure. authlete.com/customers/radi…

"Cedar Policy in RAR Object", LinkedIn に投稿したら思いのほか反響があったので、デモ動画も作成してみた。 linkedin.com/feed/update/ur…

JWT や OAuth について復習していたのだけど、Authlete さんのこの動画がやはり神 // OAuth & OIDC 入門編 by #authlete youtube.com/live/PKPj_MmLq…

Authlete は今年2月に最終化された「FAPI 2.0 Security Profile Final」への準拠を証明する「OpenID 認定」を世界で初めて取得しました！#FAPI2.0 は、高度なAPI セキュリティを実現し、相互運用性を強化します。詳細と #FAPI 実装の簡素化については、下記をご覧ください！ authlete.com/ja/news/202507…

We're excited to announce that Authlete 3.0 has become the first recipient of #OpenID Certifications for the #FAPI 2.0 Security Profile Final and Message Signing Final, as well as the Australia FAPI 2.0 ConnectID Final! Learn more: authlete.com/news/20250711_… #FAPI2

昨日のFindy ToolsさんのDeep Security Conferenceでお話しした資料を置いておきます。 speakerdeck.com/fujie/zu-zhi-n… #Deep_Security_findytools

Content-Digestヘッダに含まれるダイジェスト値の検証、Webアプリケーションサーバが勝手にやってくれるわけではないと知り、さくっと実装。このヘッダ、RFC 9421 (HTTPSig) で言及されているから昔からあると思いきや、公式定義は2024年2月公開のRFC 9530。比較的新しい。 rfc-editor.org/rfc/rfc9530.ht…

FAPI 2.0の文脈ではMTLSまたはDPoPによりアクセストークンに必ずクライアント公開鍵が紐付いているので、「『HTTPリクエスト署名はその公開鍵に対応する秘密鍵で行う』と決めれば『クライアント公開鍵をリソースサーバはどう取得するか』という問題は解決する」というお話。 bitbucket.org/openid/fapi/is…

HTTPレスポンス署名のSignature Baseに"signature";reqを含めると、IntermediariesがHTTPメッセージ署名を追加した場合 (HTTP 9421 Section 4.3)、クライアント側で再構築されたSignature Baseがリソースサーバが用いたものと異なるので署名検証に失敗するよね、というお話。 bitbucket.org/openid/fapi/is…

今まで読んだQiitaの記事の中で今でも一番鮮明に覚えてる記事 qiita.com/TakahikoKawasa…

Shared Signals Frameworkのエンドポイント群を、API保護関連の最新仕様群で守る試みが手元で動いている。「HTTP Message Signatureを検証するためのクライアント公開鍵をリソースサーバはどう取得するか」という問題は、FAPI ISSUE 740で提案している方法で解決している。 bitbucket.org/openid/fapi/is…

RFC 9421 HTTP Message Signatures に詳しい人の絶対数が少なく、FAPI 2.0 Http Signatures の議論が進まないので、具体例を用いて論点を図にしてみた。これで分かってくれ〜 bitbucket.org/openid/fapi/is…

APIアクセス制御の複雑さと保守コスト増大を解消したAuthlete。OAuth準拠で開発を効率化し基盤を強化したフリー社のAuthlete活用事例をご紹介✨ #Authlete #findy_tools findy-tools.io/products/authl…