BFFにおけるFIDO認証の認証登録と認証の流れ

ポエム

Last updated at 2024-10-27Posted at 2024-10-27

はじめに

FIDO認証の認証登録と認証の流れを整理する

前提

登場人物はフロントエンド（アプリ・InAppブラウザ）、BFF、バックエンド、認証サーバ
異常系は考えない
Attestation（※１）は使用しない

※１認証情報の証明で、セキュリティと信頼性を向上させるため使用される

FIDO認証の登録の流れ

フロントエンド（アプリ）	フロントエンド（InAppブラウザ）	BFF	バックエンド	認証サーバ
１．InAppブラウザでFIDO認証をサポートするウェブサイトにアクセス（デバイス登録の開始）
	２．BFFにデバイス登録のリクエスト送信（フロントエンドからのPOST①）
		３．バックエンドにリクエスト送信（BFFからのPOST②)
			４．認証サーバにリクエスト送信（バックエンドからのPOST③）
				５．認証サーバがチャレンジコード（※１）を作成
			６．認証サーバからレスポンス（チャレンジコード）受信（POST③のレスポンス）
		７．バックエンドからレスポンス（チャレンジコード）受信（POST②のレスポンス）
	８．BFFからレスポンス（チャレンジコード）受信（POST①のレスポンス）
９．In-Appブラウザが受信したレスポンスを受取る
１０．生体認証を実施
１１．公開鍵と秘密鍵のペアを作成
１２．秘密鍵を保存
１３．チャレンジコードを署名（秘密鍵で署名）
１４．InAppブラウザに公開鍵と署名を渡す
	１５．BFFに公開鍵と署名を送信（フロントエンドからのPOST④）
		１６．バックエンドに公開鍵と署名を送信（BFFからのPOST⑤）
			１７．認証サーバに公開鍵と署名を送信（バックエンドからのPOST⑥）
				１８．署名を検証（公開鍵で署名を検証）しチャレンジコードを取得
			１９．認証サーバからレスポンス（検証結果）受信（POST⑥のレスポンス）
		２０．バックエンドからレスポンス（検証結果）受信（POST⑤のレスポンス）
	２１．BFFからレスポンス（登録成否）受信（POST④のレスポンス）
２２．処理を完了（デバイス登録の完了）

※１認証プロセスの一部として利用されるサーバーがユーザに対して送るランダムな文字列、チャレンジと表現することが多い

FIDO認証の流れ

フロントエンド	InAppブラウザ	BFF	バックエンド	認証サーバ
１．InAppブラウザでFIDO認証をサポートするウェブサイトにアクセス（認証の開始）
	２．BFFに認証リクエストを送信（フロントエンドからのPOST①）
		３．バックエンドにリクエスト送信（BFFからのPOST②）
			４．認証サーバにリクエスト送信（バックエンドからのPOST③）
				５．チャレンジコードを作成
			６．認証サーバからレスポンス（チャレンジコード）受信（POST③のレスポンス）
		７．バックエンドからレスポンス（チャレンジコード）受信（POST②のレスポンス）
	８．BFFからレスポンス（チャレンジコード）受信（POST①のレスポンス）
９．In-Appブラウザが受信したレスポンスを受取る
１０．生体認証を実施
１１．チャレンジコードを署名（秘密鍵で署名）
１２．InAppブラウザに署名を渡す
	１３．BFFに署名を送信（フロントエンドからのPOST④）
		１４．バックエンドに署名を送信（BFFからのPOST⑤）
			１５．認証サーバに署名を送信（バックエンドからのPOST⑥）
				１６．認証サーバが署名を検証（公開鍵で署名を検証）しチャレンジコードを取得
			１７．認証サーバからレスポンス（認証結果）受信（POST⑥のレスポンス）
		１８．バックエンドからレスポンス（認証結果）受信（POST⑤のレスポンス）
	１９．BFFからレスポンス（認証成否）受信（POST④のレスポンス）
２０．認証を完了（認証の完了）

認証登録と認証の違い

認証登録のみ、秘密鍵と公開鍵を生成
認証登録のみ、公開鍵を認証サーバに送信

まとめ

（実際に実装するのは難しいだろうが、）
整理すると公開鍵暗号方式にフロントエンドの認証（例では生体認証）が組み込まれているだけでそこまで複雑ではない

You get articles that match your needs
You can efficiently read back useful information
You can use dark theme

What you can do with signing up