アプリケーションを oauth2-proxy で保護して curl でアクセスするまで
追記 2020-05-13 この方法に問題があることをご指摘いただきました。本来関係ないクライアントがリソースサーバーにアクセスできる問題がありますので、取り急ぎこの方法は非推奨であることを書いておきます(では、どのようにすればいいのかというところをまた後日追記します)。 リソースサーバーと全く関係の無いクライアントが、全く関係のない文脈で正当に取得した ID トークンを用いて、リソースサーバーの API にアクセスできてしまうと思われます。リソース側が evil かどうかも関係なく、むしろリソースサーバーは騙される側ですね。図を参照してください。 pic.twitter.com/kKCZohOgu2 — Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect (@darutk) May 13, 2020 追記 2020-05-18 結論として
SSHログイン時に公開鍵認証とGoogle OAuthで多要素認証する | ten-snapon.com
# ブラウザで認証後表示されたコードをペーストする Please type code:xxxxxxxxxxxxxxx sshでサーバにログインする際に、まず公開鍵認証が行われ、正解するとたーみなるに、このURLを開いてくれというメッセージが出ます。 https://accounts.google.com/o/oauth2/auth?access_type=offline&client_id=xxxxxxxx-xxxxxxxxxxx.apps.googleusercontent.com&redirect_uri=uxxxxx 上記の部分ですね。これをブラウザに貼り付けて、Googleの認証を超えると、あるコードが払い出されるので、それをターミナルに貼り付けると無事ログインできます。また、ログイン後はトークンが有効期限のうちは再度oAuthする必要はありません。 インストール方法 OAuth
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
UDIDにおけるセキュリティ&プライバシー問題
これまでの連載では「OAuth」と「OpenID Connect」について紹介してきましたが、今回は少し趣向を変えて、UDIDについてお話しします。 これまでの連載では、「OAuth」と「OpenID Connect」について紹介してきました。今回は少し趣向を変えて、UDIDについてお話ししようと思います。 UDID(Unique Device Identifier)とは、その名の通りデバイスに固有に割り振られた識別子のことで、具体的にはiPhone/iPadのデバイス識別子のことを指します。このUDIDは本来、米アップルが出荷したデバイスを識別するために割り振ったものです。 しかし、ガラケー時代に広まった、契約者固有番号や端末識別子を用いて認証する「かんたんログイン」方式を、UDIDを用いてそのままiOSアプリにも適用する事業者が増え、多くの問題を発生させてきました。今回は、こうしたUD
自社サービスの機能を簡単にAPIで提供出来てしまう!gem doorkeeperが凄い。 - @camelmasaの開発日記
自社サービスにAPIを実装する事ってあまりないですよね。 kamadoのプロダクトも現在はAPIは公開してません。 もし提供するのであれば、簡易的な方法ですが、ユーザーテーブルにtokenカラムを追加して、API用のルーティングを作成する…という方法が考えられると思います。 しかし、その実装時間でより良いAPIが実装出来るとしたら素晴らしいですよね。 そこで紹介したいのがgem doorkeeperです。 日本語の記事が見当たらなかったので記事にしました。 github https://github.com/applicake/doorkeeper gem doorkeeperってどんな機能があるのか? 簡単に説明すると、 ・アプリケーションの管理機能 ・アプリケーションの承認管理 ・スコープの設定 いってしまえば、Facebook API(に近い実装)そのまま実装出来ます。 しかもOAu
今月の呼びかけ:IPA 独立行政法人 情報処理推進機構
(ご案内) 2012年9月まで毎月公表しておりました「コンピュータウイルス・不正アクセスの届出状況」につきましては、2012年10月より、四半期毎の公表とさせていただくことになりました。2012年の第3四半期分の届出状況公表は、10月中旬を予定しております。 なお、「今月の呼びかけ」につきましては、従来通り、毎月の公表を予定しております。 最近、インターネット上のサービスである“Twitter(ツイッター)”などのミニブログサービスや、“mixi(ミクシィ)”、“Facebook(フェイスブック)”、“Google+(グーグルプラス)”などの SNS(ソーシャルネットワーキングサービス)が人気です。これらのサービスは、今の自分の行動や考えを簡単にインターネット上に発信できることや、同じ趣味や考えを持つ利用者同士の交流の場として利用できることが特徴となっており、多くの利用者を集めています。そ
OAuthを悪用したアカウント乗っ取りに注意喚起、IPA
情報処理推進機構(IPA)技術本部セキュリティセンターは10月1日、TwitterやFacebookをはじめとするソーシャルネットワーキングサービス(SNS)の連携機能を悪用してアカウントを乗っ取り、悪意あるWebサイトに誘導する書き込みを投稿される手口が増加しているとして、注意を呼び掛けた。 近年、Twitterやmixi、Facebook、Google+といったSNS、さらにそれらと連携するTwitpicやPinterestといったサービスが人気を集めており、OAuthを利用してワンクリックで手軽にこれらのサービスを連携できる仕組みも整えられている。しかしIPAによると、この仕組みが攻撃者に悪用され、「自分は何もしていないのに、Twitter上で勝手に投稿された」という相談が複数寄せられているという。 例えばTwitterでは、そのつどIDとパスワードを入力しなくても、「連携を許可する
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
Rubyやってみる!(新おっぱいスクリプトもあるぉ) - ゆーすけべー日記
某プロジェクトでRuby on Rails使うっていぅんで 「アジャイルWebアプリケーション開発」本なんて買ってチュートリアルとかやってます。 ただ、Ruby自体なにも分からないので、Rails覚えてもどれだけできるかがよく分からなす。 ってことでRubyを勉強する!と先ほど書いてみた4つのスクリプトをご紹介。間違ってたらツッコミよろしくおくんなまし。 とはいえ簡単なやつだよ!でも新しいおっぱいダウンロードスクリプトもあるよ! open-uri.rb まずは、Perlで言うLWP的なもの、つまりHTTPクライアントでこの日記のHTMLを取得してみるよー。 あら、簡単だねっ。 require "open-uri" html = open("http://yusukebe.com/").read; p html twitter-search.rb お次に「お得意の」APIを叩く系をやってみる
Twitter、サードパーティーアプリによるユーザーデータ利用をより明確に
米Twitterは5月17日(現地時間)、サードパーティー製アプリによるユーザーデータ利用に関する改定を行ったと発表した。アプリでユーザーのダイレクトメッセージ(DM)データを利用する場合は、個別にユーザーの許可が必要になった。 同日より、ユーザーが新たにサードパーティー製アプリにアクセスすると、以下のような認証画面が表示されるようになった。サードパーティーがユーザーのどのようなデータを利用するかが従来より細かく表示されている。 また、既にユーザーのDMデータへのアクセス権を持っているアプリのアクセス権がいったん取り消された。DM情報を必要とするアプリは再度ユーザーからの承認を得なければならない(ユーザーが該当するアプリにアクセスすると、承認を求めるウィンドウが表示される)。 この改定に伴い、DMへのアクセスの承認にはOAuthのみを使うことになった。xAuthを利用しているアプリは、5月
OAuth 2.0を使うソーシャルなAndroidアプリの作り方 (1/3) - @IT
ネイティブアプリで実践! mixi Graph API活用法 OAuth 2.0を使う ソーシャルなAndroidアプリの作り方 株式会社ミクシィ システム本部 技術部 たんぽぽグループ 藤崎 友樹 プラットフォームサービス開発部 鶴原 翔夢 2011/3/30 最近よく耳にする「OAuth」とは、mixi、Facebook、Twitterなどの外部サービスと自アプリケーションを連携するための技術です。 「クラウド」「ソーシャル」というキーワードが叫ばれている昨今では、こういった連携をいかにうまく行うかということがユーザー体験を向上させる鍵となります。 特に「ソーシャル」を取り入れることは以下のような点でメリットがあると考えられます。 ユーザーのソーシャルグラフを活用して、アプリをバイラル・マーケティングできる 現実の人間関係をベースにしたユーザー体験(UX)を提供し、継続的にアプリを使っ
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
RFC 5849: The OAuth 1.0 Protocol
Internet Engineering Task Force (IETF) E. Hammer-Lahav, Ed. Request for Comments: 5849 April 2010 Category: Informational ISSN: 2070-1721 The OAuth 1.0 Protocol Abstract OAuth provides a method for clients to access server resources on behalf of a resource owner (such as a different client or an end- user). It also provides a process for end-users to authorize third- party access to their server r
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
Webアプリケーション認証プロトコルOAuthがRFC化
IESG(Internet Engineering Steering Group:インターネット技術標準化運営委員会)は4月21日、Webアプリケーション用の認証プロトコル「OAuth 1.0」をRFC 5849(情報提供)として承認した。 OAuthプロトコルは、Webアプリケーションに格納されたデータを、IDとパスワードなど、オーナーの認証情報を取得することなく、代理で別のWebアプリケーションがアクセスするときに使われている。Twitterのユーザー固有のデータを、サードパーティ製のアプリケーションで利用できるのもOAuthプロトコルのおかげだ。 元々OAuthプロトコルを作り出したWeb開発者たちは、さまざまなWebサイトやWebサービスを取り扱うなかで、非公開のリソースをその所有者に代わって利用したいという共通の課題に直面していた。こうしてOAuthプロトコルバージョン1.0は2
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TwitterのOAuthの問題まとめ