ちょっとでもセキュリティに自信がないなら、 Firebase Authentication を検討しよう
note のやらかしのあのへんについて。 認証自作、 Rails 、 Devise - Diary パーフェクト Rails 著者が解説する devise の現代的なユーザー認証のモデル構成について - joker1007’s diary 認証サーバーの実装は本質的に難しいです。セキュリティが絡むものは「簡単な実装」などなく、プロアマ個人法人問わず、個人情報を守るという点で、同じ水準を要求されます。悪意あるハッカーは常にカモを探していて、もし認証が破られた場合、自分だけではなく大多数に迷惑が掛かります。初心者だから免責されるといったこともありません。全員が同じ土俵に立たされています。 とはいえ、認証基盤を作らないといろんなサービスが成立しません。そういうときにどうするか。 Firebase Authentication で、タイトルの件なんですが、 Firebase Authenticat
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
GoogleのOAuth 2.0実装からみえたClientの扱い - r-weblife
こんばんは、ritouです。 idconの後、Public Clientに対してどのGrant-Typeを使わせたらいいのかを考えたりしましたが、まぁこれは見なくていいです。 Oauth 2.0 public client · ritou/r-weblife Wiki · GitHub で、そのときに参考にしたGoogleのOAuth 2.0実装の自分なりの解釈を残しておきます。 Using OAuth 2.0 to Access Google APIs | Google Identity Platform | Google Developers 対象のClient Web Server Applications : Webサービス Client-side Applications : JSアプリとか Installed Applications : モバイルアプリとか Devic
GoogleのoAuth2.0への認証手順
今回は、よく悩むGoogleのoAuth2.0の対応について記載いたします。(自分メモの意味が強いですが悪しからず oAuth2.0はGoogleのサービスであるanalysis,Adsense,Blogger,Youtubeなどの 情報をAPI経由で取得する際に利用ができます。 oAuth2.0の認証トークンを取得する部分を中心に記載いたします。 その後、サンプルコードも順次作っていく予定(たぶん・・・ では、oAuth2.0には主だって3種類の認証の方法があります。 Web Applicationに組み込む クライアントアプリに組み込む Android・iOSのアプリに組み込む ぱっと思い当たるのではこの辺りでしょう。 今回は「クライアントアプリに組み込む」を中心に記載してきます。 この「クライアントアプリに組み込む」はバッチ処理にも利用できるので大変便利かと 思います。Googleの
The OAuth 2.0 Authorization Framework
Abstract OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には, リソースオーナーとHTTPサービスの間で同意のためのインタラクションを伴う場合もあるが, サードパーティーアプリケーション自身が自らの権限においてアクセスを許可する場合もある. 本仕様書はRFC 5849に記載されているOAuth 1.0 プロトコルを廃止し, その代替となるものである. Status of This Memo This is an Internet Standards Track document. This document is a product of the Internet Engineering Task Force (IETF). It re
python向けHTTP関連モジュールのrequestsが便利すぎる - yattのブログ
(追記 2015/04/19) コードは既に互換性が無くなっているので、以下を参考に読み替えて下さい。 pythonのrequestsライブラリの更新に追従 大幅に改善強化されたurllib2ことrequestsモジュールを使ってみたら便利すぎて驚いたので報告。 urllib2で面倒だった処理がどれだけ簡単になるのか。 クッキーの処理 セッションを維持したままHTTPアクセスをする場合、urllib2だと cookielib.HTTPCookieJarのインスタンス作成し、 urllib2.HTTPCookieProcessorのコンストラクタに渡して、 urlib2.build_openerでOpenerDirectorインスタンスを作成し、 そのインスタンスのadd_handler()の呼び出しで2.で作成したurllib2.HTTPCookieProcessorのインスタンスを渡す。
「OAuth」の基本動作を知る
デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
Twitter API Wiki / OAuth Examples
A list of Twitter-friendly OAuth examples, organized alphabetically by programming language. PHP Code (GitHub) Live example Docs (GitHub) PECL example OAuth and Sign in with Twitter Integration by Jaisen Mathai Python Google App Engine example code (GitHub) Live example AppEngine-OAuth-Library by Mike Knapp (more) Django example Pylons example (GitHub) Django delegated auth example (GitHub) Ruby
WordPress と OAuth 認証を使って会員向け Web サービスを作る
WordPress で主に Twitter の OAuth を使ったり、データベースに会員情報を持っておく方法を紹介します。すべて説明していると返って分かりにくくなりますので、ポイントを押さえて説明していきますので読んでみてください。今回メインで参考にさせて頂いた記事は以下です。 PHPでTwitter APIのOAuthを使う方法まとめ – 頭ん中 WordPress のデータベースにメンバーテーブルを作成 id を WordPress 側で使い、user_id は Twitter の user_id です。user_name は Twitter での screen_name です。access_token_key と access_token_secret を保存しておけばサイト側からツイートなどを行うこともできます。 CREATE TABLE IF NOT EXISTS `wp_me
Big Sky :: デスクトップアプリケーションでも認証可能なOAuth「xAuth」をpythonから試してみた。
TwitterのBasic認証APIは6月で廃止される予定なのですが、OAuthという認証方法はブラウザを起動してユーザに認証して貰わなければなりません。一見flickrアプリケーションの様な認証方法を想定しますが、OAuthはflickr認証の様にサーバから貰ったトークンをブラウザから渡して認証させる様な物ではありません。 今回OAuthの問題を解決すべくOAuthを拡張した認証方式であるxAuthが取り入れられました。 詳しくはAPIドキュメントか以下のサイトが分かりやすいかと思います。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" 従来のOAuth認証ではまずアプリケーション(OAuthコンシューマ)がTwitterに接続してRequest Tokenを取得し、認証画面を開いてRequest Tokenを承認させ、承認されたRequest Tok
簡易Twitterクライアント作ってみた。GAE/Python « python練習帳
昨夜、OAuthでの認証がうまくいったので、今日はTwitterのTLの取得と発言を実装してみた。 お試し環境 → http://nisetwitter.appspot.com/で公開している。 エラー処理を全く記述していないので、API呼び出しに失敗すると、生のエラーメッセージが出力されてしまう。 ソースコード 昨日のGAE/PythonでOAuthのソースコードの、MainHandlerを数行書き換えるだけで作成できてしまった。 12行目 テキスト入力フォームを表示 13行目 タイムラインを取得 14行目~16行目 タイムラインを表示 21行目 発言を登録 22行目 元の画面にリダイレクト class MainHandler(RequestHandler): """Demo Twitter App.""" def get(self): client = OAuthClient('twi
GAE/PythonでOAuth « python練習帳
GoogleAppEngine / Python環境で、TwitterのOAuthを使ってみた。 1. TwitterのAPI利用申請 Twitterのアカウントを取得し、API利用申請をします。 Twitterのアカウントを取得します Twitterにログインします 以下のアドレスにアクセスします https://twitter.com/apps 新しいアプリケーションを追加をクリックします アプリケーションの情報を入力して登録します ※コールバックURLは、GAEのIDがXXXの場合は、http://XXX.appspot.com/oauth/twitter/callback とします。 以下の2つの値をメモします Consumer key pQcelwAEib60BhEoE52*** Consumer secret ******* 2. サンプルアプリをデプロイ すぐ動作するサンプル
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
OAuth Core 1.0a
This specification was obsoleted by RFC 6749: The OAuth 2.0 Authorization Framework. Implementers should use RFC 6749 instead of this specification. June 24, 2009 OAuth Core 1.0 Revision A License This specification was derived from the OAuth Core 1.0 specification which was made available under the OAuth Non-Assertion Covenant and Author's Contribution License For OAuth Specification 1.0 availabl
「OAuth Core 1.0 Revision A」日本語訳をつくってみた - tzmtkのブログ
「OAuth Core 1.0 Revision A」を日本語訳してみました。 OAuth Core 1.0 Revision A 日本語訳 http://tzmtk.pbworks.com/OAuthCore10aJP 念のため、それ以前の「OAuth Core 1.0」の日本語訳、また仕様の差分載せておきます。(差分は少ないので本家のものを英語のまま見た方がわかりやすいです) OAuth Core 1.0 日本語訳 http://tzmtk.pbworks.com/OAuthCore10JP Revision Aでの仕様の差分(英語): http://tzmtk.pbworks.com/sdiff.php?first=oauth%2Bcore%2B10a%2Bcompare&second=oauth%2Bcore%2B10a%2Bcompare.2009-07-10-17-01-14
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth 2.0 をかみくだく
Twitter 用の OAuth モジュールを書いてみた [Python] - trial and error
Blogger
https://www.rfc-editor.org/rfc/rfc5849.txt