OAuth2.0の流れをまとめてみる
※この記事は別アカウント(hyiromori)から引っ越しました はじめに 最近、個人的に認証認可周りを学習していて、その過程でOAuth2.0について学習している内容をまとめた記事です。 世の中には既にOAuth2.0に関する優れた書籍やブログ記事が沢山ありますが、自分が学習する過程で色々なものを読むことでより理解が深まったと思うので、自分も学習したものをアウトプットすることで同じように学習している人の理解の助けになればと思い書きました。 まだ私も学習中なので、もし間違ったところなどあればコメント頂けるとありがたいです。 注意点 この記事内ではOAuth2.0で定義されているフロー の1つ、認可コードによる付与(Authorization Code Grant)についてまとめています。 たくさんの仕様をいきなり網羅的にまとめるのは難しいので、1つに絞って今回はまとめています。 OAuth
GoogleSignInを本番環境向けに設定して申請したら大変だった話 - MONEX ENGINEER BLOG │マネックス エンジニアブログ
こんにちは。マネックス・ラボでferciを開発している佐藤です。今回は、GoogleSignInで本番環境を意識した設定行った上で本番環境での利用を申請しようとしたところ、わからないことが多くて時間を使ってしまったので、本番環境を想定した設定の流れと、ハマりどころを書き残したいと思います。 Googleのロゴは勝手に使えないのでマカロンの画像を貼っておきます。 前提 公式のドキュメント GCPの準備 OAuth2.0クライアントIDの登録 OAuth同意画面の設定 「アプリを編集」の設定 アプリ名 ユーザーサポートメール アプリのロゴ画像 アプリのドメイン 承認済みドメイン デベロッパーの連絡先情報 スコープの設定 テストユーザー 本番環境への申請 確認を準備する 省略可能な情報 YouTube動画について 審査で指摘されたこととGoogle担当者とのやり取りについて ハマりどころ ユーザ
一番分かりやすい OpenID Connect の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
The OAuth 2.0 Authorization Framework: Bearer Token Usage(日本語)
The OAuth 2.0 Authorization Framework: Bearer Token Usage(日本語) Abstract この仕様書は, OAuth 2.0の保護リソースへアクセスするために, 署名無しトークンをHTTPリクエスト中でどのように利用するか記述したものである. 署名無しトークンを所有する任意のパーティ (持参人) は, 関連づけられたリソースへアクセスするために署名無しトークンを利用できる (暗号鍵の所有を示す必要はない). 誤った利用を避けるために, 署名無しトークンは保存場所や流通経路での値の露見から守られる必要がある. Status of This Memo This is an Internet Standards Track document. This document is a product of the Internet Enginee
REST APIの認証方法を調べてみた
ある日、REST APIの認証方法をまとめる(という話を聞く)機会があったのですが、要件と各社の実装方法を照らし合わせるとさまざまなケースが存在して興味深かったので、ブログにまとめてみることにしました。 #OAuthは「認証」ではなく「認可」の機構であるとか、人の認証とプログラムの認証がごっちゃになってたり、いろいろツッコミどころの多い内容かと思いますがご容赦を。。 求められていた要件(と検討ポイント) Webアプリ以外にバッチプログラムからの利用も想定したい 通信経路中での盗聴や改ざんを防止したい APIトークンの発行などのアカウント管理の手間を軽減したい キーやトークンが漏れた場合の対策をどうするか 1については、特に後者の場合だとPINやOut-of-band(OOB)方式が使えそうですが、「それだと初回やセッション切れた時ににブラウザなど別の認証入るよね?」(いわゆる”火入れ”)と
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Google APIのAccess Tokenをお手軽に取得する - Qiita