[B! *OAuth] yamadarのブックマーク

OpenID Connect についてと OAuth2.0 との違いを調べてみた

※この記事は別アカウント(hyiromori)から引っ越しましたはじめに最近、個人的に認証認可周りを学習していて、今回は OpenID Connectについて学習したのでその内容をまとめた記事です。世の中には既に OpenID Connectに関する優れた書籍やブログ記事が沢山ありますが、自分が学習する過程で色々なものを読むことでより理解が深まったと思うので、自分も学習したものをアウトプットすることで同じように学習している人の理解の助けになればと思い書きました。まだ私も学習中なので、もし間違ったところなどあればコメント頂けるとありがたいです。 OpenID Connectとはなにか？ OAuth2.0をベースにして︵認可だけでなく︶認証も行えるようにした拡張仕様です。なぜOAuth2.0が認証に使えないかというと、以下のように認証に使ってしまうとリスクが非常に高いからです。

yamadar 2022/06/10

リンク

よりよくわかる認証と認可 | DevelopersIO

少し早いですが、メリークリスマス！事業開発部の早川です。早いもので、入社して1ヶ月半が経ちました。現在は、 prismatix の理解を深めながら、導入支援を行っています。今回はその中から、認証 / 認可についてお伝えします。と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。ジョインしました以来、初めての記事となりますドキドキ目標本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で﹁マイクロサービス時代の認証と認可﹂の話をしてきた #AWSDevDay 目的まず、認証 / 認可を学ぶ理由を考えてみました。近年、様々なサービスが API を通じてつながり、より便利

yamadar 2022/04/04

リンク

OAuth2.0からOAuth2.1へ　よりよい銀行システムを届けるためにLINEが参考にした技術

LINE株式会社の開発拠点の一つである﹁京都開発室﹂が、オンラインのエンジニア採用説明会を開催。銀行事業のサーバーサイド開発について、Robert Mitchell氏、野田誠人氏が話をしました。 LINEの銀行サービスとは Robert Mitchell氏︵以下、Mitchell︶‥サーバーサイドチームのMitchell Robertと申します。本日、野田さんと一緒に、LINEの銀行サービスの開発について発表したいと思います。よろしくお願いします。今日の内容ですが、以下の通りになります。まずはLINEの銀行サービスとはなにかついて、軽く説明したいと思います。その後、システムアーキテクチャと開発フローについて話したいと思います。最後は、認証と認可で、これは私たちが担当している部分です。これに関連するスペックや、セキュリティの仕組み、フローについて話したいと思います。じゃあ、LINEの銀行

yamadar 2021/09/16

*OAuth

リンク

一番分かりやすい OAuth の説明 - Qiita

はじめに過去三年間、技術者ではない方々に OAuth︵オーオース︶の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1‥Authlete 社の創業者として資金調達のため投資家巡りをしていました︵TechCrunch Japan‥﹃APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達﹄︶。Authlete アカウント登録はこちら！ ※2‥そして2回目の資金調達！→﹃AUTHLETE　凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達﹄(2018 年2月15日発表) 説明手順︵1︶ユーザーのデータがあります。︵2︶ユーザーのデータを管理するサーバーがあります。これを﹃リソースサーバ

yamadar 2018/04/27

リンク

認証認可手順（新方式） - mixi Connect

各種APIをクライアントプログラムから利用するためには、OAuth 2.0 Protocolにより規定された認可を行うことが求められます。この手順により、クライアントプログラムがどのようなAPIアクセスを行い、そしてどのような情報が参照または更新されるのか（これをスコープと呼びます）がユーザに提示されます。ユーザの認証、および提示されたスコープについてユーザが同意した場合にのみ、クライアントプログラムはAPIにアクセスするための情報（トークンなど）を得ることができます。 [RFC 6749 - The OAuth 2.0 Authorization Framework] http://tools.ietf.org/html/rfc6749 [RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage] http:

yamadar 2016/05/25

*OAuth

リンク

force.comポータルでOAuth2.0

yamadar 2014/11/05

“OAuthエンドポイントに対してAuthorizationCodeをリクエストするときにポータルユーザのセッションIDが切れていた場合は401のエラーページに遷移するので当ページでログイン処理を行う必要がある。”

*OAuth

リンク

OAuth2.0によるGoogle+ APIのアクセス方法

Google+のAPIが先日公開されました。API Keyを使ってシンプルにAPIアクセスを試すことができるのですが、本来であればOAuth2.0にてアクセストークンを取得しAPIアクセスする方式でなければ今後公開されるであろうAPI群は利用できないはずですので、ここでOAuth2.0によるGoogle+ APIのアクセス手順を紹介しておきましょう。全手順において、プログラミングをすることなく試すことができます。 Client IDの発行まずはClient IDやClient secretなどを発行しましょう。まずは、Google APIs ConsoleにWebブラウザでアクセスします。 https://code.google.com/apis/console/ まだプロジェクトを作成していないのであれば、Other projects→Create…にて新規にプロジェクト作成を行います

yamadar 2014/10/27

流れが分かりやすい

*OAuth

リンク

OAuth2 Server PHP

require_once('/path/to/oauth2-server-php/src/OAuth2/Autoloader.php'); OAuth2\Autoloader::register(); Using Composer? Execute the following command: composer.phar require bshaffer/oauth2-server-php "^1.10" This will add the requirement to the composer.json and install the library. It is highly recommended you check out the v1.10.0 tag to ensure your application doesn’t break from backwards-compatib

yamadar 2014/10/27

*OAuth
*PHP

リンク

シンプルなOAuth認証ライブラリ「HybridAuth」を試してみた - Mach3.laBlog

この記事は賞味期限切れです。（更新から1年が経過しています）以前「Opauth」による簡単な認証を記事にしましたが、またさらにシンプルな認証ライブラリ「HybridAuth」を知ったので試用してみました。 HybridAuthとは HybridAuth, Open Source Social Sign On PHP Library HybridAuth enable developers to easily build social applications to engage websites vistors and customers on a social level by implementing social signin, social sharing, users profiles, friends list, activities stream, status upda

yamadar 2014/10/27

*OAuth
*PHP

リンク

単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる

In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。カット＆ペーストアタックが可能だからです。 OAuth 認証？は、図１のような流れになります。図１ OAuth 認証？の流れ一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A

yamadar 2014/10/27

リンク

OAuth - Wikipedia

OAuth（オーオース[1]）は、権限の認可 (authorization) を行うためのオープンスタンダードである。 2016年現在の最新の標準は、2012年にRFCとして発行されたOAuth 2.0である（RFC6749、RFC6750）。本稿でも以下、OAuth 2.0をベースに解説する。概要[編集] OAuth 2.0では以下の4種類のロール（役割）を考える[2]：リソースオーナー (resource owner) リソースサーバー (resource server) クライアント (client) 認可サーバー (authorization server) リソースオーナーが人間である場合は、リソースオーナーのことをエンドユーザーともいう。認可サーバーはリソースサーバーと同一のサーバーでも異なるサーバーでもよい[2]。これら4つのロールを具体例に即して説明する。今、ウェ

yamadar 2010/06/01

*OAuth

リンク

OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記

﹁おーおーっすっ!﹂てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか?というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。間違っているところもあると思うのでツッコミ歓迎です＞＜ OAuthってそもそもなんなの?ものすごくざっくりというと﹁API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様﹂って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が﹁なんとかメーカー

yamadar 2010/05/07

リンク

はてなブックマーク

タグ

関連タグで絞り込む (4)

*OAuthに関するyamadarのブックマーク (12)

お知らせ

今週のはてなブックマーク数ランキング（2024年7月第1週）

月間はてなブックマーク数ランキング（2024年6月）

今週のはてなブックマーク数ランキング（2024年6月第5週）

公式Twitter

キーボードショートカット一覧

はてなブックマーク

公式Twitter

はてなのサービス