RFC 5849: The OAuth 1.0 Protocol
Internet Engineering Task Force (IETF) E. Hammer-Lahav, Ed. Request for Comments: 5849 April 2010 Category: Informational ISSN: 2070-1721 The OAuth 1.0 Protocol Abstract OAuth provides a method for clients to access server resources on behalf of a resource owner (such as a different client or an end- user). It also provides a process for end-users to authorize third- party access to their server r
高木浩光@自宅の日記 - CSRF対策に「ワンタイムトークン」方式を推奨しない理由
水色の四角は画面を表し、白抜き実線枠の四角はボタンを表す。 これを、Webアプリという実装手法を選択する場合に特化すると、図2のような遷移図が描ける。 実線矢印はブラウザが送信するHTTPのrequest(ヘッダおよび、POSTの場合はボディを含む)を表し、黄色の丸がサーバ側での1アクセスの処理を表し、点線がその処理結果を返すHTTPのresponse(ヘッダおよび、HTML)を表す。responseの上の文はHTMLの内容を説明するものである。黄色の丸の中の文は処理内容の説明であり、ここから複数のresponse矢印が出ている場合、処理の結果によって遷移先の画面が異なる場合であることを表し、破線の白抜き四角がその分岐の条件を概説している。 この図で例に用いているのは、ECサイトやblogサービスなどに見られる典型的な「登録個人情報変更」の機能である。「メインメニュー」画面の「登録情報変更
HMAC: Keyed-Hashing for Message Authentication
H. Krawczyk IBM M. Bellare UCSD R. Canetti IBM 1997年 2月 HMAC: メッセージ認証のための鍵付ハッシング (HMAC: Keyed-Hashing for Message Authentication) このメモの位置付け このメモは、インターネット・コミュニティに対して情報を提供するものである。このメモは、何らインターネットの標準を規定するものではない。このメモの配布に制限はない。 要旨 この文書では、暗号ハッシュ関数を使用してメッセージ認証を行なう仕組みである HMAC について記述する。HMAC は、MD5 や SHA-1 などの反復暗号ハッシュ関数を秘密の共有鍵と組み合わせて使用する。HMAC の暗号としての強度は、使用しているハッシュ関数のプロパティに依存する。 1.はじめに 信頼できないメディア上を伝送し、蓄積される情報の
Test Cases for HMAC-MD5 and HMAC-SHA-1
HMAC-MD5 と HMAC-SHA-1 のためのテストケース (Test Cases for HMAC-MD5 and HMAC-SHA-1) このメモの位置付け このメモは、インターネット・コミュニティに対して情報提供を行うものです。いかなる種類のインターネット標準も、このメモでは指定していません。このメモの配布に制限はありません。 要旨 本書では、HMAC-MD5 と HMAC-SHA-1 それぞれに対する 2 セットのテストケースを提供します。HMAC-MD5 と HMAC-SHA-1 は、MD5 [MD5] ハッシュ関数と SHA-1 [SHA] ハッシュ関数を使用して構成された HMAC [HMAC] メッセージ認証関数です。これらは、IPSEC [OG,CG] や他のプロトコルでメッセージを認証するために使用されます。本書で提供されるテストケースとその結果は、HMAC-MD
セキュリティ
情報の秘匿 データの内容を意図した相手にしか読めないようにすること。通信データの盗聴はカード番号や個人情報の盗難、企業情報の漏洩などを引き起こし、後になりすましなどの不正行為の手がかりとなります。情報の秘匿は暗号化技術により実現されます。 情報の完全性 データの内容が意図的な改ざん、あるいは偶発的な破損を受けたときに検知できること。表示されている情報が正しいことを保障できないインフラでは契約や取引などに使用できません。電子署名を使用することで署名が行われてから情報が変更されていないことが保障されます。 身元情報の証明 相手の身元情報が信頼できること。第三者による成りすましを阻止できなければいけません。認証局 (CA) によって発行された証明書を使用して相手の身元情報を客観的に証明することができます。ただし、その身元情報を認識して意図した相手かどうかを確認する (認証) 責任はユーザにありま
web.py&はてな認証APIを始めるにあたり - 脱エンタープライズ志向
昨日の続きということで、とりあえず何か作ってみよーう web.pyを使ってみよう 導入 まずはweb.pyの導入ということで、Download (web.py)を参考にダウロード。tar.gzをダウンロードして、以下のコマンドでインストール $sudo python setup.py install チュートリアル web.py 0.2 チュートリアル (web.py)を参考に。でも web.run(urls, globals()) の部分がVer0.3では動かないので、 application = web.application(urls, globals()) application.run() に変更。 実装はここらが参考になると思う。 指定されたページまたはファイルは存在しません(これはVer0.3未対応だけど、流れは参考になる。) web.py with mod_wsgi (an
はてな認証API - ヘルプ - はてな認証APIの使い方
ここでははてな認証APIをサードパーティ製のウェブアプリケーションに組み込む方法を具体的に解説します。認証のシーケンスに関しては認証APIを利用した認証の流れをご覧ください。 ■ 1. APIキーを取得する 認証APIを利用するアプリケーションには API キーが必要です。まずはAPI キーの新規取得ページからキーを取得します。 なお、APIキーは特定のアプリケーションに固有のものであり、複数のアプリケーションで使い回すことはできません。新規にアプリケーションを作りたい場合はその都度 APIキーを取得してください。 新規にAPIキーを取得すると、該当のキーがキー一覧に追加されます。 ■ 2. APIキーの設定を行う APIキーを取得したら次に、取得したキーの一覧から設定画面に進み、キーの設定を行います。画面の指示に従って、そのキーを使ったアプリケーションの情報を入力してください。 タイトル
はてな認証API - ヘルプ - 認証APIを利用した認証の流れ
認証APIを利用した認証の流れを、シーケンス図を用いて解説します。API の具体的な利用方法については はてな認証APIを使った認証システムをウェブアプリケーションに組み込む方法をご覧ください。 サービスXははてな認証APIを組み込んだサードパーティアプリケーションです。 ユーザーAはサービスXを利用しようとしています。 サービスXはユーザーAのはてなでのアカウントの有無とアカウントがあった場合のそのアカウント名を確認しようとしています。 ユーザーAはサービスXを利用するために、サービスXのサイトを訪問します。 サービスXはユーザーAに対して、はてな認証APIによるログイン画面へのリンクを提示します。リンクには api_key ならびに秘密鍵を用いて生成したシグネチャ(api_sig1) が URL パラメータとして含まれています。 2 で提示されたリンクを辿って(api_key + ap
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
