◆フィッシングに強くシンプルな認証技術◆ 　本書のテーマは、パスワードレス認証を実現する「パスキー」です。パスキーはApple、Google、Microsoftといった3大プラットフォーマを含む多くの企業が協力して開発している認証技術で、大手から中小企業までさまざまなサービスで導入が進んでいます。 　「パスキーとは？」の疑問に答えるとともに概要はもちろんのこと、従来の認証技術の課題と比較して何が優れているのか、パスキーの導入で知っておくべき特性、パスキーの登録・認証・管理画面などのUX設計、WebサイトだけでなくiOSやAndroidの具体的な実装について徹底解説をします。 　パスキー以前の歴史から最新の仕様まで「パスキーのすべて」がここに詰め込まれています。パスキーというキーワードが気になった方にはぜひ手にとっていただきたい一冊です。 ■目次 第1章 パスキー導入が求められる背景 ・1.1 パスワード ・1.2 二要素認証 ・1.3 パスワードレス ・1.4 ID連携 第2章 パスキーを理解する ・2.1 WebAuthnとFIDO2の登場 ・2.2 パスキーの登場 ・2.3 パスキーの何が優れているのか ・2.4 パスキーのよくある誤解を解く ・2.5 パスキーも銀の弾丸ではない 第3章 パスキーのユーザー体験 ・3.1 パスキーによるアカウントの新規登録 ・3.2 既存アカウントへのパスキーの登録 ・3.3 パスキーによる認証 ・3.4 パスキーによる再認証 ・3.5 クロスデバイス認証 ・3.6 パスキーの管理画面 第4章 サポート環境 ・4.1 ユーザーエージェント ・4.2 パスキープロバイダ ・4.3 OSごとの挙動 第5章 パスキーのUXを実装する ・5.1 共通処理 ・5.2 パスキー登録UXの実装 ・5.3 パスワードログイン時に自動でパスキー登録するUXの実装 ・5.4 ワンボタンログインUXの実装 ・5.5 フォームオートフィルログインUXの実装 ・5.6 再認証UXの実装 ・5.7 クロスデバイスUXの実装 ・5.8 パスキー作成・認証の中断操作の実装 ・5.9 管理画面UXの実装 第6章 WebAuthn APIリファレンス ・6.1 実装の概要 ・6.2 パスキーに関する各種機能が利用可能かを確認する ・6.3 パスキーを作ってみる ・6.4 パスキーを使って認証してみる ・6.5 パラメータの深掘り 第7章 スマホアプリ向けの実装 ・7.1 iOS/iPadOS ・7.2 Android 第8章 パスキーのより高度な使い方 ・8.1 パスキーの保存先パスキープロバイダを知る ・8.2 パスキーが作成可能なことをパスキープロバイダやブラウザに知らせる ・8.3 複数ドメインで同じRP IDのパスキーを利用可能にする ・8.4 パスキーの表示名変更や削除をパスキープロバイダに通知する ・8.5 より高いセキュリティのためのセキュリティキー ・8.6 認証器の信頼性を証明するためのAttestation ・8.7 ユーザーがパスキーにアクセスできなくなったらどうする？ 第9章 パスキー周辺のエコシステム ・9.1 パスキーの仕様を読み解くための手引き ・9.2 パスキーの実装をサポートするエコシステム 付録A クライアント用Extensionの解説 付録B iOS実装サンプル ■著者プロフィール ●えーじ：ブラウザ開発チームでWeb開発者向けの技術を啓蒙。Credential Management API、WebOTP、WebAuthn、FedCM、Digital Credentialsなど、ブラウザのサポートするアイデンティティ・認証関連APIの啓蒙チームをグローバルでリードする。 ●倉林雅 ：OpenIDファウンデーション・ジャパン 理事・エバンジェリスト。OpenID / OAuth技術の啓発・教育活動に携わる。長年にわたり某インターネット企業にて認証・認可基盤の開発を経験し、現在はプロダクトマネージャを担当。 ●小岩井航介：米国OpenID Foundation理事。OpenID ファウンデーション・ジャパン KYC WGリーダ。FIDOアライアンス、W3Cにも参加中。所属先企業ではID・認証に関する実装・運用と、新技術全般に関する検証、活用検討を担当。デジタル庁 DIW（デジタルIDウォレット）アドバイザリーボード 構成員。

※この商品はタブレットなど大きいディスプレイを備えた端末で読むことに適しています。また、文字だけを拡大することや、文字列のハイライト、検索、辞書の参照、引用などの機能が使用できません。 ◆OpenID Connectを基礎から応用まで着実に学ぶ◆ 　昨今のアプリケーションの開発では、OpenID Connectを使用してユーザ認証を行うケースが多くなっています。しかし、OpenID Connectについてよく知らずに使用している開発者も多いのではないのでしょうか？ きちんと理解しないままOpenID Connectを使用すると、上手く動かないときの調査に時間がかかったり、重大なセキュリティホールを潜ませてしまうリスクにつながります。 OpenID Connectをよく知らない開発者が多い理由として、その難しさがあります。筆者自身、OpenID Connectを理解するのに多くの時間を要しました。概念的な難しさに加え、数多くの用語が登場して複雑に関係しています。また、きちんと理解するにはOpenID Connectの仕様書を参照する必要がありますが、説明が機械的で学習向きとは言えません。 　本書は、OpenID Connectの知識がほとんどない方でも、OpenID Connectを理解してもらえるような内容です。OpenID Connectが登場した背景から始まり、各種フローを丁寧に説明します。代表的なセキュリティの脆弱性や対応方法についても説明します。また、サンプルアプリケーションを通して実装のイメージを伝えつつ、具体的にやりとりされるデータを示しながら説明します。 本書を読むことで、OpenID Connectを使用したアプリケーション開発に従事するための十分な知識を得ることができます。 ■こんな方におすすめ OpenID Connectを利用してアプリケーションへの実装を考えているプログラマー、エンジニア、セキュリティ担当者など。もしくはアプリケーションのセキュリティチェックをしている方など。 ■目次 第1章　OpenID Connectの概要 第2章　OIDCの利用シーン 第3章　エンドポイントとフローの種類 第4章　トークンの種類と形式 第5章　認可コードフローの詳細 第6章　アクセストークン取得後に行われる処理 第7章　ログアウトの方法 第8章　アプリケーションの実装例 第9章　ClientがSPAの認可コードフローの サンプルプログラム 第10章　ClientがBFFの認可コードフローのサンプルプログラム 第11章　Clientがネイティブアプリ（Androidアプリ）の認可コードフローのサンプルプログラム 第12章　クライアントクレデンシャルフローのサンプルプログラム 第13章　セキュリティの脅威と対応 付録A　デバイスフロー 付録B　外部IdP連携 付録C　OIDC関連の公式ドキュメント ■著者プロフィール ●著者―土岐 孝平 （とき こうへい）：1976年宮崎生まれ。大学で情報工学を専攻。卒業後、いくつかの会社で働くが、いづれも上司とぶつかりすぐに退社。しばらく派遣社員としてさまざまな現場を経験したあと、2012年に合同会社 現場指向を設立。Javaをメインとしたアプリケーション開発の支援、教育をしている。主な著書として、「プロになるためのSpring入門」「間違いだらけのソフトウェア・アーキテクチャ」共著(小社)、「ITアーキテクトのためのクラウド設計・構築実践ガイド」共著(日経BP社)、「OpenID Connect入門」(Kindle ダイレクト・パブリッシング)などがある。 ●監修者―倉林 雅（くらはやし まさる）：　一般社団法人OpenIDファウンデーション・ジャパン 理事・エバンジェリスト。OpenID、OAuth、パスキー（Passkeys）などの認証・認可技術の普及啓発および教育活動に従事。国内大手インターネット企業において長年、大規模な認証・認可基盤の開発・運用を経験。現在はプロダクトマネージャーとして、安全で利便性の高いデジタルアイデンティティ基盤の構築を牽引している。主な著書として、『パスキーのすべて 導入・UX設計・実装』（当社刊行）がある。