OAuth 2.0のstateとredirect_uriとOpenID ConnectのnonceとID Tokenについて - r-weblife
こんにちは、ritouです。 先日行われたidconのパネルディスカッションでOAuth 2.0のstateパラメータ、redirect_uriの扱いが取り上げられていました。 stateパラメータとは こんな感じだと思います。 stateパラメータは何のためにあるの? : Client-Server-ClientのリダイレクトへのCSRF対策 draft-ietf-oauth-v2-31 - The OAuth 2.0 Authorization Framework stateパラメータって必須? : RECOMMENDED draft-ietf-oauth-v2-31 - The OAuth 2.0 Authorization Framework. ServerはAuthorization Requestに含まれていたら必ずレスポンスに含む stateパラメータには何の値を指定したらい
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OAuthと周辺技術の勉強会 — ありえるえりあ
OAuthの典型的シナリオ userがconsumer(Web上のサービス)を利用 userはSP(別のWeb上のサービス)にアカウントを持っている SPは一般にSNSで、userがSP上に蓄積した情報(個人プロファイルや友達リストなど)は原則的にSPの外部に非公開 consumerは、userに許可を得て、SP上の情報を取得する ただし、userはconsumerにSPのパスワードは教えない OAuth 1.0aの動作シーケンス 表記法 リクエストとレスポンスの区別は自明ですが、ひとめで分かるようにリクエストは --> 、レスポンスは ==> にしています。 リクエストやレスポンスペアの上に書いてある数字はOAuth1.0aスペックのセクション番号です。リクエストパラメータやレスポンスの内容はスペックの該当セクションを参照してください。 リクエストやレスポンスペアの下に書いてある文字列は
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
bit.ly の OAuth 2.0 とか色々試してみたら色々アレだった : にぽたん研究所
ある日、うちのサービスで bit.ly 使って URL を短縮したいねーなんて話があがって、まぁ、単純に短縮化するなら、@shiba_yu36 さん作の WebService::Bitly なんか使えば簡単に色々出来て便利だなーって思いました。 で、きっと、このモジュールを使っているであろうはてなダイアリーとか見てみたら、bit.ly の設定画面があるんですね。 自分自身の bit.ly アカウントを使えば bit.ly でトラッキングとか出来るし便利だなーと思いました。 …でもね、うちのサービスの利用者の方々は、はてな民のようなリテラシーの高いユーザばかりではないのですよ。 「bit.ly の API キー」とか言っても「は?????」って感じの方が大多数。 意味わからないものを設定画面につけるとなっちゃん宛にクレームがいっぱい来てしまいます。 とりあえず、bitly API Docum
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
やる夫と Python で学ぶ Twitter の OAuth - 宇宙行きたい
OAuth 調べてみたら難しくて理解出来なかったので, Python で標準ライブラリだけで 1 から書いてみました. / \ / _ノ ヽ、_ \ / o゚((●)) ((●))゚o \ twitter の OAuth 難しいお… | (__人__)' | \ `⌒´ / ____ /⌒ ⌒\ /( ●) (●)\ /::::::⌒(__人__)⌒::::: \ だからやる夫でやるお! | |r┬-| | \ `ー'´ / Python のサンプルコードを付けていますが, 上から順に読めるようにおもいっきり手続き型で書いています. コメントで実際の処理の説明を書いています. Consumer Key と Consumer Secret の入手 / ̄ ̄\ / u \ .____ |:
「OAuth認証が通ると、アプリ作者からはDMも何もかも見放題」という書き方は誤解を招く - aruto's diary
”なる4”の騒ぎの件で、「OAuthの危険性がわかっているのか?twitter関連アプリの作者は何でもできるんだぞ。たとえば、DMは見放題送り放題だ」という意見を良く見かけるのですが、誤解を招く表現なので、twitterクライアント作者の立場から捕捉しておきます。 (TwitterにおけるOAuth認証についての話です。本文の記述から判別できるとは思いますが、念のため。他サービスの場合、事情が異なってくる場合があります) 少なくともデスクトップで動作するアプリは、これらのリスクは(比較的)低い もちろんスパイウェア等は、この限りではありません。 OAuth認証の流れを図にしてみました(あくまで「おおまかな」図です。色々と、端折っています)。 うだうだと書かれていますが、大事なのは「アクセストークン」です。これさえ覚えてもらえれば、他は全て忘れてしまってかまいません。 twitter関連アプ
twitterクライアント/botをOAuthに(1) - fkm blog
ここ数日, twitterクライアントを作ってたfkmです. というのも, emacs(Meadow)のtwittering-modeが使えなくなってしまったから>< そのために必要なのはOAuthを使ってGET/POSTする方法. これさえ出来ればあとはXMLを読んでごにょごにょするだけのお仕事です. OAuthで使うまでの流れ クライアント登録 ここで, 今から作るクライアントを登録します. アプリ名は投稿時に"via" のところに出てくるやつになります. 無事, 登録が完了するとConsumer keyとConsumer Secretがもらえます. クライアントに関するIDみたいなものですね. BOTの場合はBOTのアカウントでこの登録をやってしまえばいいかも. クライアント利用者がクライアントに「使っていいよ」とOKを出す 次にクライアントを使う人の準備. クライアントが許可なく利
OAuth関連の専門用語 - 強火で進め
説明が抽象的に成らないようにここではTwitterの場合を例に説明します。 用語 説明 OAuth Open Authorizationの略。認証のプロトコル。読み方は「おーおーす」または「おぅおーす」ぐらいが適当だと思います。Youtubeなどで外国の方の動画などを観るとこの2つ呼び方の中間位の発音をするのが良さそうな印象です。 サービスプロバイダ(Service Provider) OAuth認証を使ってユーザデータを提供する側。今の例ではTwitterがサービスプロバイダーとなります。 コンシューマ(Consumer) OAuth認証を使ってユーザデータを提供を受ける側。開発者やサービスを提供する人や団体。 リクエストトークン(Request token) ユーザがユーザデータへのアクセスをコンシューマに承認するページを表示するときのキーとなる文字列。Consumer KeyとCon
[OAuth] 携帯でTwitterのOAuthを無理やりやってみた
2011-07-04追記: 今はTwitterのOAuth画面もガラケー対応されてます。自動でリダイレクトはされないのでユーザによるクリックは相変わらず必要ですが。 モバイルフォースクエアの開発初期に、OAuthでTwitterの認証をやろうとしていた時に試した結果です。手元にあったAU,docomoの端末で確認しています。 AU(W61CA)でTwitterのOAuthをやってみた ログイン画面 承認画面 特に問題なし! 自動でリダイレクトはされないが、リンクを手動でクリックすれば動作はOK! docomo Cookie対応機種(N-07A)でTwitterのOAuthをやってみた ログイン画面 承認画面 文字化けがひどいが、ID・パスワード欄っぽいところに入れて1つ目のボタン(ログイン)を押せば承認画面に飛ぶ。 自動でリダイレクトはされないが、リンクを手動でクリックすれば動作はOK!
![[OAuth] 携帯でTwitterのOAuthを無理やりやってみた](https://cdn-ak-scissors.b.st-hatena.com/image/square/95ebfb30e1bf95e1c7e554c2f92b295c1f4a00b9/height=288;version=1;width=512/http%3A%2F%2F1.bp.blogspot.com%2F_IngpC7Xbw78%2FS-6gEadv-xI%2FAAAAAAAAAN0%2FgvviZI0-zTU%2Fw1200-h630-p-k-no-nu%2Fw61ca-tw-login2.JPG)
ガラケーでもOAuthに対応できそうな話
Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
tweepyでOAuth投稿なう@CentOS - The jonki
Pythonで動いてるTwitterボットたちをOAuth移行するため、何がいいか探してた。 めんどくさがりやな自分として以下の条件で 導入が簡単。 分かりやすい。 うごきゃいいんだよ。 まぁ、あれですね。楽にやりたかったわけですよ。oauth-python-twitterを最初に見つけたんですが、結局tweepyの方が楽でわかりやすかったんでこっちで。 参考&感謝 今回の記事は id:Number6 様を参考に丸パクリしました。ちょびっとだけ認証のときの手順が違います。ほんとちょびっと。 あーあ、俺を認証してくれねぇかなぁ!! OAuthについてはgihyoの解説が丁寧です。 ゼロから学ぶOAuth アプリケーション登録 アプリケーション登録申請を行い、consumer_keyとconsumer_secretをメモっときましょう。 tweepyのインストール $ sudo easy_in
“OAuth”は何と読むか
“OAuth” は何と読むのか、が話題になることがある。 たしか最初は “oath” と同じ発音だった(これが「オース」)けど 今は “Oh Auth” と発音をするのだと書かれていたのを見た気がするので “oauth pronounce” で検索してみたらまさにそれが出てきた。 "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" is pronounced "Oh Auth" and has two syllables "OAuth" の発音は "Oh Auth" で、2音節だよ。 経緯についてはこう。 OAuth was originally called "OpenAuth" but then AOL took the name, so we renamed to "OAuth". We originally p
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
oauth-adapter - Project Hosting on Google Code
Google Code Archive - Long-term storage for Google Code Project Hosting.
2-legged OAuthで認証して外部APIを利用する - スコトプリゴニエフスク通信
oauth-python-twitter
Loading...