OpenID ConnectのSelf-Issued OPデモ用Androidアプリを作ってみた - r-weblife
こんにちは、ritouです。 Self-Issued OPについて、去年からなんかごちゃごちゃ言ってきましたが、やはり動くものが見れないと話にならないと思っていたので、年越しあたりでデモ用のアプリを作ってました。 Self-Issued OPとはなんなのかについての復習はこちらから。 OpenID ConnectのSelf-Issued OPの話 - r-weblife Self-Issued OPによるAuthorizationの流れ いつもながらRP(Client)がAuthorization RequestをOPに送り、OPがAuthorization Responseを返すわけですが、その際のOP側の一連の流れは以下のとおりです。 1. openid://というカスタムURIスキームで起動 2. Authorization Requestの処理 3. Consent Page(アク
パスワード氾濫時代のID管理とは? ~最新のOpenIDが目指すユーザー認証の効率的な強化~
2. Copyright © 2014 OpenID Foundation Japan. All Rights Reserved. アジェンダ 不正アクセス対策としての「ID連携」 ID連携技術概要(SAML、OpenID、OAuth) 最新のID連携仕様 “OpenID Connect” 3. Copyright © 2014 OpenID Foundation Japan. All Rights Reserved. 自己紹介 工藤達雄 http://www.linkedin.com/in/tatsuokudo, @tkudos サン・マイクロシステムズ (1998~2008) https://blogs.oracle.com/tkudo 野村総合研究所 (2008~) OpenIDファウンデーション・ジャパン (2013~) http://openid.or.jp
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
idcon9レポート - mad-pの日記
7/8に渋谷mixi本社で行われたidcon9に行ってきました。発表者さんの資料へのリンクはATND記事にあります。 広くてキレイな会場です。参加者も前回、前々回よりぐっと増えました。 本題ではやっぱり話についていけなかった部分があるので、間違いもあると思いますがメモを貼っておきます。なんかおかしいぞ、と思ったら発表者さんの資料を確認してください〜。 自分がその場で理解できるところより上の話を聞くとやはり面白いです。idconはいつもいつもついていけてない感じですが、やっぱり面白い。懇親会も時間を忘れて話し込んじゃいました。 司会まつおかさんのあいさつ idcon自体は3〜4年前に崎村さんとか工藤さんとか山口さんが勉強会としてスタート。 最初は10人。最近まで10人〜20人規模だった。 今回はmixiさんから会場のオファーがあったということで、規模を大きくしてみた。 懇親会ではATNDで募
r-weblife
ritouです。 タイトルに全部書きましたが、Xでharuyamaさんが書かれていたものです。 (広義の公開鍵暗号の)電子署名の文脈においては公開鍵/秘密鍵と言わないで署名鍵/検証鍵などと言ったほうがいいのではないかな— HARUYAMA Seigo (@haruyama) 2024年5月19日 よくある誤解 最近、公開鍵暗号方式がデジタル署名文脈で使われているユースケースに触れる機会が増えてきました。 自分の守備範囲でいうと OpenID ConnectのIDToken パスキーのAttestation/Assertion 雰囲気で使われているJWT認証() あたりでしょうか。 もちろん暗号化/復号のユースケースもあるにはあるのですが、自分の観測範囲ではデジタル署名文脈の方が圧倒的に多く使われています。 このあたりを解説しようとする記事において、誤解というか誤った認識をされがちなのが、
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20110722/p01/