Twitter API を OAuth で認証するスクリプトを 0 から書いてみた - trial and error
どうも。昨日もちょっと twitter に触れましたが、今日も twitter ねたです。 前の post で、チラッと触れた OAuth 認証 (O認証認証みたいでこわい) を使ってみたくなり、自分で 0 から書いて見ました。 既存のライブラリ使えば手っ取り早いですが、仕組みを理解したかったので、やってみるだけやってみました。 結果から言うと、ものすごく面倒です。すごい時間かかりました。 (僕の文章読解能力と、typo 検出能力と、プログラミングスキルが足りなかっただけかもしれないけど) まあ、これの実装については、各所で結構触れられていますが、まあ話を聞いただけじゃイマイチピンとこないものだったのですが、いざ実装してみたらよくわかりました。 OAuth の仕組み OAuth の仕様については、oauth.net の Documentation に書いてあるとおりです。 OAuth Co
2008-04-04 - Codin’ In The Free World
Life is beautiful: WSSEのセキュリティリスクとその対処法に関する一考察 このやり方では、SHA1というアルゴリズムをパスワード管理に使っているという事実を 公開してしまうことになるので、それもあまり嬉しくないかと思います。 もちろん、生でパスワードを保存しているより遥かにマシですが。 OAuthを使えば、必ずブラウザ上でログイン画面を通すことにより、 認証方式はサービス次第、パスワードをどのように管理してるかを 漏らすこともなくなります。 また、OpenIDのRPであるサービスが認証付きのAPIを提供したいと考えたとき、 エンドユーザのパスワードを持っていないわけですから、 WSSEやBasic認証は使えないのでOAuthが良い選択肢の一つになるでしょう。 (APIを利用したいユーザーにはそのためのIDとパスワードを別途登録させる、という選択肢もあります) ネガティブ
2-legged OAuth on OpenSocial - Codin’ In The Free World
OAuth Consumer Request 前回も簡単に触れましたが、OAuth Consumer Requestという拡張仕様があり、 これは二者間でのやり取りを行うためのものでした。OAuthのプロトコル中で 重要なパラメータは、トークンとシグネチャ(署名)です。トークンは、ある エンドユーザーがサービスプロバイダ上に持っているリソースに対して、 特定のコンシューマがアクセスしてもよいという認可を与えたという証明となります。 また、コンシューマはリクエスト毎に共有鍵、もしくは秘密鍵で署名をつけることにより、 不正なコンシューマの偽装を防ぐことが出来ます。 二者間でやりとりを行う場合、エンドユーザは登場しません。なので、トークンを 扱う必要がなく、署名の検証のみで認証を行うことになります。 事前にリクエストトークンの発行、エンドユーザをリダイレクトさせて承認をもらう、 承認済のリクエス
太陽型の星のまわりに惑星候補、初めて撮像
太陽型の星のまわりに惑星候補、初めて撮像 【2009年12月4日 すばる望遠鏡】 すばる望遠鏡が、こと座の方向約50光年の距離にある恒星のまわりを回る、系外惑星候補の小天体を撮影した。太陽と同じくらいの質量の星の近くで系外惑星候補が直接撮像されたのは世界で初めてのことである。 すばる望遠鏡がとらえた系外惑星候補天体GJ 758BとGJ 758C。クリックで拡大(提供:国立天文台) 太陽系天体とGJ 758系の天体の大きさを示した図。クリックで拡大(提供:国立天文台) これまでに系外惑星(太陽以外の恒星のまわりを回る惑星)と思われる天体は400個以上見つかっているが、そのほとんどが恒星の明るさの変化から間接的に検出する手法を使っている。惑星の公転運動による恒星の「ふらつき」を測定するドップラー法や、惑星が恒星の前を通過するようすを検出するトランジット法だ。 系外惑星を直接とらえた例は、200
RFC-2119j(内田訳)
RFC-2119 内田訳 Uploaded: 1998/1/22. Network Working Group Request for Comments: 2119 BCP: 14 Category: Best Current Practice S. Bradner Harvard University March 1997 RFC文書中で要求レベルを表現するために用いられるキーワードの使用法について(Key words for use in RFCs to Indicate Requirement Levels) この文書の状態(Status of this Memo) この文書は、インターネット社会のために、現時点での最上の慣習を同定しておき、進化させるべく、議論や示唆を期待するものです。文書の配布に関しては制限を設けません。 This document specifies an In
第2回読書会 まとめ/第4章 - RESTful読書会
「RESTful Webサービス」第4章のまとめ † 第2回読書会 まとめにもどる 第4章「リソース指向アーキテクチャ(ROA)」について説明および議論がありました。 ↑ 発表資料 † 第4章を担当された岩本さんの資料はこちらで公開されています。 資料の読み方等は岩本さんのブログに説明があります。下の音声を聞きながら資料をみると内容がよりわかると思います。 ↑ 岩本さんによる説明 † なぜリソース指向という用語を作るのか? 単にRESTじゃだめなの? RESTはアーキテクチャースタイルで、提案したいのはアーキテクチャだから アーキテクチャ=基本設計や設計思想 RESTは一連の設計条件と考えれるのでは?(ULCODC$SS) ROAはRESTの空白部分を補うものだから、RESTとは呼べない RESTは空白部分が多い 空白部分を実装者が慣習で補ってきた→オレオレRESTfulがたくさんできた
確認画面問題とリソースモデリング - 烏賊様
この条件での確認画面問題は,トランザクションリソースを導入しなくても,もっとシンプルに考えて解決できると思います. 処理内容:ユーザ名とパスワードが入力項目となるユーザ登録処理 画面遷移:登録画面→確認画面→結果画面 確認画面問題はトランザクションリソースの導入で解決できるのでは - 岩本隆史の日記帳(アーカイブ) まず上記の条件から次の事が言えると思います. ユーザ登録処理とはユーザリソースの作成処理と考えられる 画面はあくまでリソース状態が表示されるものなので,画面遷移とはユーザリソースの状態を都度表示しているもの ということで,あくまでユーザリソースとそれに対する CRUD(この場合は DELETE はないが)として考えればいいかな,と. まず最初の登録画面はユーザ作成フォームリソースを取得します. GET /users/new登録画面から確認画面のところはユーザリソースの新規作成と
確認画面問題はトランザクションリソースの導入で解決できるのでは - 岩本隆史の日記帳(アーカイブ)
REST勉強会、参加したかったなあ。知らなかった私が悪いんですが。 勉強会では「確認画面ってどう扱うの?」という議題が出たそうで、私なりに考えていた解をここに提示する次第です。 例示する処理 処理内容:ユーザ名とパスワードが入力項目となるユーザ登録処理 画面遷移:登録画面→確認画面→結果画面 1. トランザクションリソースの作成 クライアントは、登録画面から「トランザクションリソースのファクトリリソース」にユーザ名とパスワードをPOSTします(通信イメージは適当です)。 POST /newaccount-transactions HTTP/1.1 HOST: example.org username=iwamot password=hogehoge 妥当な入力なら、サーバはトランザクションリソースを作成し、そのURLを返します。これが確認画面となります。 HTTP/1.1 201 Crea
Matrix URIs - Ideas about Web Architecture
Tim Berners-Lee Date: December 19, 1996 Status: personal view. Editing status: Italic text is rough. Reques complete edit and possibly massaging, but content is basically there. Words such as "axiom" and "theorem" are used with gay abandon and the reverse of rigour here. This file was split off from Axioms.html on 2001/1/15 as matric URI parsing is not a feature of the web. This is just something
API Directory - Google Data Protocol - Google Code
Developer's Guide Version 2.0 Protocol Basics Protocol Reference Common Elements Version 1.0 Protocol Basics Protocol Reference Common Elements JSON Alt Type Google Data Guides Authentication Overview ClientLogin OAuth AuthSub JavaScript Client Library Overview AuthSub in JavaScript API Directory The following Google services provide APIs that implement the Google Data Protocol. Each API has its o
Google Data API - Google Code
注æ: ä¸é¨ã®ãã¼ã¸ã¯è±èªã§ã®ã¿ãå©ç¨ããã ãã¾ãã å©ç¨æ¹æ³ Google Data API ãåãã¦å©ç¨ããå ´åã¯ã次ã®æé ããå§ããã¾ãã æ¦å¿µ ãåç §ãã åºç¤ ãç解ãã¾ãã ããã°ã©ãã³ã°è¨èªã«åºæã® ã¯ã©ã¤ã¢ã³ã ã©ã¤ãã©ãª ã®ããããã使ç¨ãããã XML 㨠HTTP ããã®ã¾ã¾ä½¿ç¨ãããã決å®ãã¾ã
Android Market配布を目指しEclipseでHelloWorld!
Android 4.0でアプリ開発を始めるための環境構築 Androidで動く携帯Javaアプリ作成入門(27) 搭載端末の発売で話題のAndroid 4.0。SDKやEclipse、エミュレータなど開発環境を構築してアプリ開発を始めてみよう 「Smart & Social」フォーラム 2011/12/6 Androidアプリは、WindowsやMac OS X、Linuxで開発可能です。今回はWindowsを選択することにします。後述するEclipseプラグイン「Android Development Tools Plugin for the Eclipse IDE」(以降、ADT)を用いてEclipseで開発するのであれば、開発の仕方はどのOSでもさほど変わりません。 Eclipseプラグインが用意されているので、Eclipseを開発環境にするのが便利ですが、AndroidはすでにSD
Immortal Session の恐怖 : 404 Blog Not Found
2007年11月29日07:15 カテゴリ書評/画評/品評 Immortal Session の恐怖 さすがの私も、今夜半の祭りにはmaitter。 私のtwitterが荒らされていたのだ。 荒らし発言は消してしまったが、にぽたんがlogを残してくれている。 nipotumblr - Dan the cracked man 一部で言われているように、本当にパスワードが抜かれたかどうかまでは解らない。が、状況としてはnowaがベータテスト段階で持っていたCSRF脆弱性をついた荒らしにそっくりだった。 にぽたん無料案内所 - こんにちはこんにちは!! この時も、私のnowaのメッセージに荒らしが入った。パスワードを変更しても暫く荒らしが続いていた点も似ている。 ここでの問題は、 bulkneets@twitter曰く(直接リンクは避けます) 問題は本人が気付いてもパスワード変えてもセッション残
OpenIDの使いどころ - 日向夏特殊応援部隊
id:teahutさん*1が早速反応してくれたので、さらに被せちゃいます。 たけまる / OpenID に向いている認証と向いてない認証 の返信です。 OpenIDの使いどころについての分類 Sreg*2やAX*3の存在も含めると、OpenIDの持つ主要な機能は二つで、 IDの認証 IDに関連するメタデータの取得・設定 だと思います。 で前のエントリや、たけまるさんのエントリでは認証と言う機能が適用されるシーンについての話だったかと思います。 認証について たけまるさんはざっくり言えば、ヘビーな用途*4とライトな用途*5に分けてるのかなと思いました。これは分かりやすい分類ですね。 現時点の OpenID は,2. を対象としているのでしょう.サービスの都合でユーザのトラッキングを行いたい. でも,わざわざ新規登録するのは敷居が高くて,多くの人に使ってもらえない. じゃあ,OpenID でユ
たけまる / OpenID に向いている認証と向いてない認証
_ OpenID に向いている認証と向いてない認証 [openid] ZIGOROu さんのとこで,OpenID の使い道について面白い議論がされてい ました. Re:本当は怖いOpenIDによる認証 - Yet Another Hackadelic まず大前提として個人情報等、センシティブなデータを取り扱うサイトは 必ず会員登録は行うべきで、認証、認可はRPのIdentifierに対して与えら れるべきです。 RP (Consumer) のユーザID で認証するのであれば,OpenID を無理に使わ なくても良さそうな気がします.この後,ZIGOROu さんのエントリではい くつかの解決策が提案されているのですが,一歩戻って OpenID の使いど ころについて考えてみることにしました. # これから書くことって当たり前のことな気がするけど,そういうことで # も書いて確認できるのがブロ
第1回 Androidの構造
2008年10月22日,米Google社が開発するモバイル機器向けのプラットフォーム「Android 1.0」がオープンソースとして公開された。これで誰でも自由にAndroidを機器に搭載したりAndroid用ソフトを開発したりできる。Androidは一体何を変えるのか..。Androidのソースに触れ,その実体をつかむ。(日本Androidの会組み込みWG 近藤昭雄,木南英夫,水野光男) Android(アンドロイド)は,「Open Handset Alliance(OHA)」が2007年11月5日に提唱した。OHAはGoogleが主体となって結成したオープン携帯プラットフォームの普及を目指す団体で,実質的にGoogleがAndroidを開発する。 同11月12日にアプリケーション開発環境の「Android SDK」が先行公開されたものの,ソース・コードはリリースされなかった。これは,ソ
宇宙を知る「宙博」開幕 宇宙服の試着や天文3Dシアターも
宇宙についての最新知識を楽しみながら知ることができる「宙博(ソラハク) 2009」が12月3日、東京国際フォーラム(東京・有楽町)で開幕した。宇宙航空研究開発機構(JAXA)などによる最先端の研究成果と環境エネルギー革命にスポットを当てた展示のほか、識者による関連講演も行う。6日まで。 宇宙服を着られるコーナーや、最新の天文地図を立体映像で見られるシアターのほか、開発中の惑星探査機の展示も。若田光一飛行士が自ら国際宇宙ステーション(ISS)でのミッションを紹介するイベント、地球観測や宇宙太陽光発電などの専門家を招いたセミナー、子どもや宇宙好きな大人のためレクチャーもあり、大人から子どもまで楽しめる構成になっている。 JAXAや国立天文台、高エネルギー加速器研究機構(高エネ研)などによる実行委員会(海部宣男委員長)が主催し、科学技術関連の広報などを手掛けるナノオプトメディア(藤原洋社長)が運
TechCrunch | Startup and Technology News
Live Nation says its Ticketmaster subsidiary was hacked. A hacker claims to be selling 560 million customer records. An autonomous pod. A solid-state battery-powered sports car. An electric pickup truck. A convertible grand tourer EV with up to 600 miles of range. A “fully connected mobility device” for young urban innovators to be built by Foxconn and priced under $30,000. The next Popemobile. Ov
YouTube - Fantastic Planet part 1 (english)
Whole movie in 8 parts. This one is in English ;)
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
404 Page Not Found | PNE.JP サービス
このページを見るには、ログインまたは登録してください
Engadget | Technology News & Reviews
Amazon.co.jp
Designing Errors with Kotlin
ミニサーバー「玄柴」直販は売り切れ。年明けに追加出荷
トピックオンキヨーのiPod/PCトランスポート「ND-S1」を試す