[B! OAuth] airj12のブックマーク

「OAuth 2.0」の基本動作を知る

SNSなど複数のWebサービスが連携して動くサービスが広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための仕組みだ。本連載ではこのような仕組みのうち、﹁OAuth 2.0﹂や﹁OpenID Connect﹂﹁SCIM﹂の最新動向と技術の内容を紹介する。 OpenID Foundation Japan Evangelistのritouです。本連載では、Webサービスの連携に必要不可欠なアクセス権限の受け渡しを可能にする技術として、﹁OAuth﹂や﹁OpenID﹂﹁SCIM﹂の最新動向と技術の内容を紹介していきます。第1回と第2回はOAuth 2.0を扱います。 OAuth 2.0の仕様を定めた﹁RFC 6749﹂﹁RFC 6750﹂が、2012年10月に公開されてから、約5年が経過しました＊1︶。OAuth 2.0は幅広く使われる技術に育っています。第1回はユー

airj12 2017/09/01

oauth

リンク

事務局ブログ：「Covert Redirect」についての John Bradley 氏の解説（追記あり）

追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と

airj12 2014/05/07

リンク

【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト

2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 ＤＪ秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 ＤＪ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記)：

airj12 2013/03/01

リンク

OAuthの認証にWebViewを使うのはやめよう

AndroidからTwitterへアクセスするためのライブラリとして，Twitter4Jが有名です．これを使ってみようと，﹁Android Twitter4J﹂と検索すると認証にWebViewを使った例がたくさん出てきます．・・・いや，ちょっとまて．それはちょっとまずいだろう．そういうわけでもうちょっと賢い方法を探してみました．何がまずいのさ﹁Android Twitter4J﹂と検索すると，上位にこんなページが出てきます． Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード上のサイトでは次の様は方法をとっています．アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面

airj12 2012/11/28

リンク

RFCとなった「OAuth 2.0」――その要点は？

RFCとなった﹁OAuth 2.0﹂――その要点は？‥デジタル・アイデンティティ技術最新動向︵2︶︵1/2 ページ︶いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サードパーティが提供するアプリケーションがAPIを中心に結び付き、一種の﹁APIエコノミー﹂を形成しています。この連載では、そこで重要な役割を果たす﹁デジタル・アイデンティティ﹂について理解を深めていきます。再び、デジタル・アイデンティティの世界へようこそ前回﹁﹃OAuth﹄の基本動作を知る﹂ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきことについて述べていきます。 OAuth 1.0とOAuth 2.0の違いクライアントタイプの定義 OAuth 2.0では、O

airj12 2012/09/12

OAuth

リンク

「OAuth」の基本動作を知る

デジタル・アイデンティティの世界へようこそはじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの﹁デジタル・アイデンティティ︵Digital Identity︶﹂にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ世界中で9億人のユーザーを抱える﹁Facebook﹂や5億人のユーザーを持つ﹁Twitter﹂など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット

airj12 2012/08/27

oauth

リンク

node.js+express+PassportでOAuth認証 - Tech-Sketch

軽めの話題を毎回割と﹁濃い目﹂の記事が多いこのTech-Sketchですが、今回は軽めの内容として、nodejsとそのモジュールであるPassportを利用した他サービスとの認証連携を説明しようと思います。 PassportはConnectやExpressベースのWebアプリケーションに認証の仕組みを組み込むことができるモジュールです。単純なローカルでのユーザ名・パスワードによる認証から、OpenIDやOAuthを利用した認証もカバーしています。それぞれの認証の方式はstrategyとして選択することが可能で、簡単に認証に関する実装を追加することができます。OpenID/OAuthで認証を行う場合のstrategyは、メジャーなサービスに対してのものはnpmでインストールできる形ですでに多数用意されています。具体的にどのようなstrategyが用意されているかは、以下のリンク先を参照し

airj12 2012/03/29

リンク

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。カット＆ペーストアタックが可能だからです。 OAuth 認証？は、図１のような流れになります。図１ OAuth 認証？の流れ一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

airj12 2012/02/03

リンク

adakoda.com

airj12 2011/06/03

親切

リンク

TechCrunch | Startup and Technology News

What’s one to do after creating a billion-dollar startup? Well, if you’re Rubrik co-founder Arvind Jain, you simply start another one. Jain co-founded Glean, an…

airj12 2011/05/19

リンク

非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】

昔から、﹁OpenIDは認証でOAuthは認可だ﹂などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。﹁もうOpenIDなんていらね。OAuthだけでいいじゃん﹂というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵まずはOpenIDの概要の復習です。﹁OpenIDは認証﹂という言葉の内容をまずは復習してみましょう。﹁認証﹂とは大変広い言葉でいろいろな場面で使われますが、﹁OpenIDは認証﹂という使い方の時は、﹁OpenIDは、いま来ている人の身元を認証﹂︵ユーザ認証︶という意味です。図にすると図1のような流れになります。この例では、有栖さんがお客としてサービス提供をして

airj12 2011/05/16

認証と認可の違いを説明する方法として

OAuth
openid

リンク

bit.ly の OAuth 2.0 とか色々試してみたら色々アレだった : にぽたん研究所

ある日、うちのサービスでbit.ly 使って URL を短縮したいねーなんて話があがって、まぁ、単純に短縮化するなら、@shiba_yu36 さん作の WebService::Bitlyなんか使えば簡単に色々出来て便利だなーって思いました。で、きっと、このモジュールを使っているであろうはてなダイアリーとか見てみたら、bit.ly の設定画面があるんですね。自分自身のbit.ly アカウントを使えばbit.ly でトラッキングとか出来るし便利だなーと思いました。 …でもね、うちのサービスの利用者の方々は、はてな民のようなリテラシーの高いユーザばかりではないのですよ。﹁bit.ly の API キー﹂とか言っても﹁は？？？？？﹂って感じの方が大多数。意味わからないものを設定画面につけるとなっちゃん宛にクレームがいっぱい来てしまいます。とりあえず、bitlyAPI Docum

airj12 2011/04/22

リンク

OAuth 2.0でWebサービスの利用方法はどう変わるか（1/3）- ＠IT

OAuth 2.0で Webサービスの利用方法はどう変わるかソーシャルAPI活用に必須の“OAuth”の基礎知識株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール﹁youRoom﹂、小規模グループ向けグループウェア﹁サイボウズLive﹂、﹁はてな﹂のいくつかのサービス、﹁Yahoo!オークション﹂、リアルタイムドローツール﹁Cacoo﹂などがOAuth 1.0に対応したAPIを公開しています。ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、﹁OAuthを使うと、サービスプロバイ

airj12 2011/02/03

ぼんやりとしかわかってまへん

リンク

はてなブックマーク

タグ

関連タグで絞り込む (15)

OAuthに関するairj12のブックマーク (13)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第3週）

今週のはてなブックマーク数ランキング（2024年7月第2週）

はてなブックマーク透明性レポート（2024年 2月-2024年4月）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス