OAuth.jp
いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。 細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を
OAuth 2.0の概要 - r-weblife
Eran がエントリ書いてました。 http://hueniverse.com/2010/05/introducing-oauth-2-0/ 今回の内容は翻訳ではありません。 読みながら感じたことを書き連ねたものです。 ■ なぜ新しいバージョンを考え始めたのか?OAuth 1.0aの課題 Eranは3つのポイントを挙げています。 Authentication and Signatures OAuthの実装にわずかでも関わった開発者が感じるのは、署名が面倒だということではないでしょうか? twitterでBasic認証からOAuth/xAuthへの移行に苦労されている開発者の方もいると思いますが、やっぱり工数かかりますよね。 (まぁ、それでも独自でSP達が全部考えた仕様にかなり作りこんで対応するよりは、まだましかとおもいますけど?) これを、HTTPSを使ってSecretそのままでとことん簡
ガラケーでもOAuthに対応できそうな話
Hiromitsu Takagi @HiromitsuTakagi @mb4sqjp http://www.mb4sq.jp/login ケータイ版の「初めて利用する方」で、OAuthを使うとあるのに他サイトのIDとパスワードを入力させるのはなぜですか?「OAuth認証」ボタンの上に他サイトのパスワード入力欄があるのはおかしくないですか? 2010-05-09 00:01:40 モバイルフォースクエア @mb4sqjp @HiromitsuTakagi ご指摘ごもっともです。始めはOAuthで実装していたのですが、現在はxAuth(4sqではAuth Exchange)で認証しています。※4sqのoauth画面が一部の機種だと文字化けするため。 説明文早めに直しておきます。 2010-05-09 00:13:19
Gauche で OAuth - 主題のない日記
Twitter が OAuth という認証手続きを採用したそうだ。 現在の Basic 認証は近く廃止予定だそうで、 Twitter 関連ソフトは OAuth 対応を余儀なくされている。 OAuth についてとりあげているブログ記事もちらほらと見掛ける。 流行に乗ろうというわけでもないが、 Gauche で OAuth 認証 (コンシューマ側) のコードを書いてみた。 oauth_token とかを取得するあたりまでだけだが、署名の部分だけ使いまわせばあとは特に面倒なこともないだろう。 コンシューマキーやコンシューマ秘密鍵は (当然だが) 各自で取得して欲しい。 (use rfc.http) (use rfc.sha) (use rfc.hmac) (use rfc.base64) (use www.cgi) (use math.mt-random) (use gauche.uvector
OAuth access to IMAP/SMTP in Gmail
Google has long believed that users should be able to export their data and use it with whichever service they choose. For years, the Gmail service has supported standard API protocols like POP and IMAP at no extra cost to our users. These efforts are consistent with our broader data liberation efforts. In addition to making it easier for users to export their data, we also enable them to authoriz
OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin’ In The Free World
最近twitter APIまわりで話題に出てきているようなので。 ちゃんと追いかけきれてないけど、恐らくこれのことですね。 http://tools.ietf.org/html/draft-dehora-farrell-oauth-accesstoken-creds-00 OAuth WRAPではUsername and Password Profileとして組み込まれてます。 http://d.hatena.ne.jp/lyokato/20091118/1258524429 WRAP/2.0が来るまでにOAuth1.0aで使いたい時に。 利用状況 ブラウザがない、あるいはブラウザを使うのが適切ではない状況での いわゆるデスクトップアプリのためのもの。 組み込みだったり、搭載されているブラウザが貧弱だったりとか。 ブラウザと連携させたくない、あるいは出来ないとき。 仕様 まず始めにクライア
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
tzmtk / OAuthCore10aJP
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
OAuth Sequence Diagram Template - 日向夏特殊応援部隊
OAuth Sequence Diagram Template とりあえず、OAuth のお勉強用にテンプレ化。Web Sequence Diagrams すげー便利だなー。 participant User participant Consumer participant "Service Provider" note over Consumer 6.1 Obtaining an Unauthorized Request Token end note Consumer->"Service Provider": "6.1.1. Consumer Obtains a Request Token" activate "Service Provider" "Service Provider"->Consumer: "6.1.2. Service Provider Issues an Unauth
うっかりしてたらモバツイの延べ登録ユーザー数が10万人を超えていました。
もう既に10.6万人ぐらいになっていました。 今後ともよろしくお願いいたしますm(__)m 10万人のユーザーが中心になってモバツイッター上で確認されてるツイッターユーザーの数が22万人。イメージとしては、ほとんどのユーザーが誰かと誰かのフォロワー関係の大多数を共有しているという構造で世間が狭いハズという認識でいたのですが、日本のツイッターユーザーは5月に77万人を超えているという話でしたので、まだまだ断片的な情報に過ぎないんでしょうね。ただ、もっと少ない時から、モバツイユーザー : 把握してるユーザー全体は、1:2ぐらいの比率だったから、ユーザーを40万人ぐらい抱えたら大多数の日本人ユーザーを把握できるんでしょう。 あと、いずれ対応を迫られると思ったので、さっきoAuthにも対応してみました。Peclのライブラリを使って、5hぐらいの対応時間でした。 oAuthは、あくまでも「PCからの
KMKM :: サービスの連携のための"認可"の代替としてのOpenIDによる"認証"
はてなブックマークにPOSTするようなサービスを作りたければ、はてなブックマークAtomAPIとは - はてなキーワードに基づいて、del.icio.us からはてなブックマークへデータを移行できたのではてなブックマークに移転したいと思います - NaN days - subtechを参考に作れば簡単に書けるけど、その中にはユーザ名とパスワードが必要でしょ?つまり、他の人の代わりに投稿することができない。それを可能にしているのがOAuthみたいな"認可"プロトコルだけど、対応してるとこなんてほとんど無くて使い物にならない。 ところで、やりたいことが"ブックマークすること"ならはてなのhttp://b.hatena.ne.jp/addのリンクを踏ませるのと、自分のサイトでコメントを入力してもらうことと、ユーザの負担はあまり変わらない。認証をはてなが発行しているOpenIDで行えば、対応する
Tender Surrender » MySpaceのRESTful APIでOAuth認証を試してみる
MySpaceで公開されているMDP(MySpace Developer Platform)には、OpenSocialだけでなく独自のRESTful APIも含まれており、これを使うことでサーバーサイドにアプリケーションを作ることもできるようになっています。今回は、MDPのRESTful APIのOAuth認証にフォーカスを当ててみます。 OpenSocial/MDPのOAuthについて OAuthとは、ユーザーとユーザーが利用したいサービス(以後サービスプロバイダ)を仲介するOpenSocial等のコンテナ(以後コンシューマ)が、サービスプロバイダの認証情報を知ることなくAPIを操ることを可能にする、認可のためのプロトコルです。 例えばユーザーがコンシューマ上でサービスプロバイダのアプリを利用しようとすると、サービスプロバイダのドメイン上にある認証画面にリダイレクトされ、ユーザーが許可を
Nick Floyd: RESTful thoughts - OAUTH and statelessness
Sunday, December 14, 2008 RESTful thoughts - OAUTH and statelessness I keep a copy of Roy Fielding's 162 page dissertation in my laptop bag, yeah I know - ich bin ein nerd, but hey it only adds another 2~3 lbs to my bag and I like rules and architecture - "form follows function" as Fielding puts it. I am facing an architectural paradox right now where form seems to be tripping over function - clie
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://twitter.com/ono_matope/status/4342441421
http://www.machu.jp/posts/20090903/p01/
http://www.machu.jp/posts/20090801/p01/
ついついツイッター
http://www.machu.jp/posts/20071106/p01/