In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OAuth2 gemのインストール 現状OAuth2 gemはOAuth 2.0の古いspec (draft 0?) に準拠しているので、mixiがサポートしているdraft 10に対応したOAuth2 gemをここからgit clone & rake installする。 https://github.com/nov/oauth2 あとはこんな感じ。 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 require 'rubygems'require 'active_support/all'require 'oauth2' config = { :mo
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
Twitter APIのBASIC認証は2010年6月に「廃止予定」(→8月まで延長)(→廃止された模様) 2010年01月05日 11:51Twitter 昨年12月にパリで開催されたインターネットのイベント LeWeb’09 で Twitter のプラットフォームディレクターの Ryan Sarver さんが登壇して いくつかの発表を行ったらしいんだけど その中にこういうのがあった。 Twitter Spawned 50,000 Apps To Date, Will Open Up Firehose For More starting Basic Auth decprecation in June 2010. 2010年6月から Twitter API の BASIC 認証が deprecated になるとのこと。 Deprecated というのは「非推奨」「廃止予定」という意味で こ
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
OAuth Sequence Diagram Template とりあえず、OAuth のお勉強用にテンプレ化。Web Sequence Diagrams すげー便利だなー。 participant User participant Consumer participant "Service Provider" note over Consumer 6.1 Obtaining an Unauthorized Request Token end note Consumer->"Service Provider": "6.1.1. Consumer Obtains a Request Token" activate "Service Provider" "Service Provider"->Consumer: "6.1.2. Service Provider Issues an Unauth
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く