line fido2 server

FIDO Alliance により正式に認定された FIDO2(WebAuthn) サーバー

FIDO (Fast IDentity Online) は、パスワードの脆弱性を排除することを目的としたオンライン認証のオープン標準です。 FIDO は、パスワードや PIN などの対称資格情報の代わりに公開キー暗号化を使用します。

基本的に、ユーザーのデバイスはキー ペアを生成し、秘密キーを安全に保存し、公開キーをサーバーと共有します。登録と認証の両方の際、サーバーはデバイスにチャレンジし、デバイスは秘密キーを使用したデジタル署名で応答します。次にサーバーは、保存されている公開キーを使用してこの署名を検証します。このチャレンジ/レスポンス プロトコルは、リプレイ攻撃の防止に役立ちます。

FIDO2 は、Web およびその他のプラットフォーム向けの FIDO 標準を拡張したもので、主要な Web ブラウザーおよびオペレーティング システムでサポートされています。これには、登録と認証という 2 つの主要な操作が含まれます。

• ユーザーは、サービスの受け入れポリシーを満たす FIDO 認証システムを選択します。
• ユーザーは、指紋、PIN、または別の方法で認証システムのロックを解除します。
• 公開鍵/秘密鍵のペアが生成されます。公開キーはサービスに送信され、ユーザーのアカウントに関連付けられますが、秘密キーはデバイス上に残ります。
• サービスはデバイスにチャレンジし、秘密キーを使用して応答を作成して登録プロセスを終了します。

• このサービスは、ユーザーに、以前に登録されたデバイスを使用してログインするよう要求します。
• ユーザーは、登録時と同じ方法を使用して認証子のロックを解除します。
• デバイスはサービスのチャレンジに署名し、それをサービスに送り返します。
• サービスは、保存されている公開キーを使用して署名を検証し、アクセスを許可します。

登録プロセスと認証プロセスの両方で、チャレンジ/レスポンス プロトコルを利用してリプレイ攻撃を防ぎます。登録中に、サーバーからデバイスにチャレンジが送信され、デバイスは秘密キーを使用して応答します。同様に、認証中に、ユーザーの身元を確認するために別のチャレンジが送信されます。これにより、各試行が一意で安全であることが保証されます。

• rpサーバー:
  • RPサーバーのデモ
  • 共通に応じて
• 一般：
  • FIDO2 サーバーと RP サーバーの両方で共通に参照されるメッセージ クラス
• コア:
  • FIDO のコア ドメイン ロジックが含まれています
  • 実装されている FIDO2 サーバーが RDB と対話しない場合は、このモジュールのみを使用する必要があります。
  • 共通に応じて
• ベース：
  • Spring JPAに依存するクラスが含まれています
    • サービス実装クラス、リポジトリインターフェイス、エンティティクラス
  • コアに応じて
• デモ：
  • FIDO2 サーバーのデモ アプリケーション
  • 拠点によります

• サポートされている証明書の種類:
  • 基本
  • 自己
  • アテステーション CA (プライバシー CA)
  • なし
  • 匿名化 CA
• サポートされている証明書形式:
  • 詰め込まれた
  • TPM
  • Android キー認証
  • Android セーフティネット
  • FIDO U2F
  • アップル・アノニマス
  • なし
• メタデータ サービスの統合:
  • FIDO MDSv3

RP サーバーと FIDO2 サーバーを起動します。

 # Start RP Server
cd rpserver
./gradlew bootRun

# Start FIDO2 Server
cd fido2-demo/demo
./gradlew bootRun

Docker が構成されている場合は、docker-compose を使用できます。

 # Start both RP Server and FIDO2 Server
docker-compose up

アプリケーションが実行されたら、次のテスト ページにアクセスします。

• http://ローカルホスト:8080/

FIDO2 サーバーは、ローカル環境で組み込み DB として H2 を使用します。これは、ステージング、ベータ、または運用環境ではスタンドアロン DB (MySQL など) に置き換える必要があります。 H2 Web コンソールには次の場所からアクセスします。

• http://localhost:8081/h2-console

• IntelliJ 環境で data.sql がうまく動作しない場合は、build.gradle のこの部分にコメントを付けてみてください。

jar {
    processResources {
        exclude( " **/*.sql " )
    }
}

API ドキュメントを表示するには、次の手順に従います。

1. 次のコマンドを実行します。

    cd fido2-demo/demo
   ./gradlew makeRestDocs
   ./gradlew bootRun

2. 次のパスで API ドキュメントにアクセスします。

• サーバー: http://localhost:8081/docs/api-guide.html

アプリケーションを実行した後、以下のリンクで API ガイド ドキュメントを表示できます。

• rpserver: http://localhost:8080/swagger-ui.html
• サーバー: http://localhost:8081/swagger-ui.html

Android/iOS アプリケーション用のクライアント SDK も提供しています。以下をご覧ください。

• Fido2 クライアント SDK オープンソースの紹介
• LINE Webauthn デモ Kotlin
• LINE Webauthn デモ Swift

checkOriginメソッドは、LINE の Android および iOS アプリケーションからのリクエストの送信元を検証します。リクエストの送信元が、事前に設定された許可された送信元のリストと一致するかどうかをチェックすることで、セキュリティを確保します。

設定方法checkOriginメソッドを使用するには、 application.ymlファイルで許可されるオリジンを設定します。構成例を次に示します。

 app :
  origins :
    - android:aaa-bbb
    - ios:aaa-bbb

注: aaa-bbbアプリケーションに適切な値に置き換えます。

重要:この設定はオプションであり、Android および iOS アプリケーションの LINE WebAuthn と統合する場合にのみ必要です。

LY Engineering Blogs

• LINE の FIDO: パスワードのない世界への第一歩
• FIDO at LINE: オープンソース プロジェクトとしての FIDO2 サーバー
• Fido2 クライアント SDK オープンソースの紹介

LY Tech Videos

• LINE FIDO2 Serverから始まるオープンソースの貢献
• FIDOを使用した強力な顧客認証と生体認証
• LINEのクロスプラットフォームモバイルセキュリティ
• パスワードを生体認証キーに置き換えて安全な LINE ログインを実現

Internal

• シーケンス図