国内最大級ゲーム情報サイトのGame8、月間最大5億PV・4千万以上のユニークユーザという大規模システムで、OpenID Connectを使って攻略情報閲覧からゲーム内アイテム購入までの統合やアプリ横断決済などを実現しているらしい！ えっ、その実装にAuthleteを使っているの？！ #Authlete すごい！ #ステマ

先日のAuthlete主催勉強会でのプレゼンテーション「MCPから考えるOAuth/OIDCの現状と展望」の録画と資料を公開しています。地味目な話かと思いますが、よろしければご覧くださいませ https://t.co/GVybrFXr71

authlete-mcp のデモをやりたかったけど、時間がなかったので動画にしてみた。尺の関係で 2.7 倍速。なお OAuth とは関係ない模様。

ご要望にお応えして、本日（8/27）18:30より開催の「#OAuth & #OpenID Connect 勉強会ー #MCP とOAuth/ #OIDC の相互作用」へのご参加登録を17:00まで受け付けております。配信リンクは connpass のイベントページをご覧ください。皆さまのご参加をお待ちしております！ https://t.co/FlI9NMeSqU

新しい技術がどんどん出てきてキャッチアップするのしんどいなー。誰か、MCP+OAuthの現状とMCP/APIエージェントのユースケースをデモも交えて教えてくれないかなー。。。えっ、その主旨のオンライン勉強会がある！？ 明後日の8/27？ 急いで申し込まねば！ https://t.co/hZJZvGDiBs #ステマ #Authlete

I’ve published a new article: “Comprehensive API Protection with Standard Specifications.” It covers MTLS, DPoP, HTTP Message Signatures, RAR, Cedar, and more. #OAuth https://t.co/KwFgwVZHLA

『標準仕様による徹底的なAPI保護』という記事を公開しました。受信者限定、MTLS、DPoP、HTTPメッセージ署名、RAR、Cedarなど、API保護のための主要仕様群をまとめて紹介する記事となっています。 #OAuth https://t.co/EHo9Pcu27x

RFC 9700 Section 4.15.1 Countermeasuresがベストプラクティスなのではなくて、RFC 9068のsubの仕様に従わないことがベストプラクティス。仕様 (RFC 9068) でアタックサーフィスを埋め込んでおいて、「アタックに注意しろ」と言われてもな。

RFC 9068の取り決めにより、JWTアクセストークンのsubにリソースオーナーではなくクライアントの識別子が設定される場合があり、これが攻撃に利用されうるので注意、とRFC 9700 Section 4.15に書いてあるが、これはRFC 9068が悪い。仕様策定当時、この部分には反対したんだよ。言わんこっちゃない。

APIアクセス制御の複雑さと保守コスト増大を解消したAuthlete。OAuth準拠で開発を効率化し基盤を強化したフリー社のAuthlete活用事例をご紹介✨ #Authlete #findy_tools https://t.co/GIheuDzxvC

RFC 9421 HTTP Message Signatures に詳しい人の絶対数が少なく、FAPI 2.0 Http Signatures の議論が進まないので、具体例を用いて論点を図にしてみた。これで分かってくれ〜 https://t.co/OQnUC6g791

Shared Signals Frameworkのエンドポイント群を、API保護関連の最新仕様群で守る試みが手元で動いている。「HTTP Message Signatureを検証するためのクライアント公開鍵をリソースサーバはどう取得するか」という問題は、FAPI ISSUE 740で提案している方法で解決している。 https://t.co/ZEMMHAoizj

今まで読んだQiitaの記事の中で今でも一番鮮明に覚えてる記事 https://t.co/FOS2hCHJrM

HTTPレスポンス署名のSignature Baseに"signature";reqを含めると、IntermediariesがHTTPメッセージ署名を追加した場合 (HTTP 9421 Section 4.3)、クライアント側で再構築されたSignature Baseがリソースサーバが用いたものと異なるので署名検証に失敗するよね、というお話。 https://t.co/di1lUvAleI

FAPI 2.0の文脈ではMTLSまたはDPoPによりアクセストークンに必ずクライアント公開鍵が紐付いているので、「『HTTPリクエスト署名はその公開鍵に対応する秘密鍵で行う』と決めれば『クライアント公開鍵をリソースサーバはどう取得するか』という問題は解決する」というお話。 https://t.co/ZEMMHAoizj

Content-Digestヘッダに含まれるダイジェスト値の検証、Webアプリケーションサーバが勝手にやってくれるわけではないと知り、さくっと実装。このヘッダ、RFC 9421 (HTTPSig) で言及されているから昔からあると思いきや、公式定義は2024年2月公開のRFC 9530。比較的新しい。 https://t.co/GN2ucLAHc2

昨日のFindy ToolsさんのDeep Security Conferenceでお話しした資料を置いておきます。 https://t.co/fkjQjHJSlA #Deep_Security_findytools

We're excited to announce that Authlete 3.0 has become the first recipient of #OpenID Certifications for the #FAPI 2.0 Security Profile Final and Message Signing Final, as well as the Australia FAPI 2.0 ConnectID Final! Learn more: https://t.co/KK5yiGKRwl #FAPI2

Authlete は今年2月に最終化された「FAPI 2.0 Security Profile Final」への準拠を証明する「OpenID 認定」を世界で初めて取得しました！#FAPI2.0 は、高度なAPI セキュリティを実現し、相互運用性を強化します。詳細と #FAPI 実装の簡素化については、下記をご覧ください！ https://t.co/iBbCKnAW29

JWT や OAuth について復習していたのだけど、Authlete さんのこの動画がやはり神 // OAuth & OIDC 入門編 by #authlete