単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OpenID Summit Tokyo
APIエコノミー時代におけるインターネットIDのトレンドを一挙紹介 OpenID Summitは、デジタル・アイデンティティやWeb API、信頼フレームワークに関する最新情報をシェアするカンファレンスです。OpenIDやOAuthなどのコア技術の動向紹介だけでなく、それらが、ソーシャルWebや、エンタープライズ・クラウド、国民IDといった幅広い分野で、どのようなインパクトを持つのかについて多数セッションを設ける予定です。日本で初めて開催される今回は、国内の専門家だけでなく、Googleや、Microsoft、米国連邦政府の関係者など、この分野のリーダーが来日し、アイデンティティに関する世界的トレンドや、各社の取り組み、今後のサイバー空間へのインパクトなどを、皆さんと共有します。また、次世代のOpenID仕様の「OpenID Connect」の国内初のお披露目も予定しています。12月1日は
非技術者のためのデジタル・アイデンティティ入門
「非技術者のためのOAuth認証(?)とOpenIDの違い入門」が800はてブ超えをしたのに気を良くして、今度はアイデンティティについて書いてみることにしました(*0)。 (デジタル)アイデンティティとは、聞きなれない言葉だと思います。デジタルはまだしも、アイデンティティとなると、はてさて一体何?という感じではないでしょうか? ところがこの言葉、OpenIDにせよ、OAuthにせよ、「認証」を語るときには、必ず出てくる言葉ですし、先日ニコニコ動画で放映され、のべ27000人以上の来場者を数えた「一番いいのを頼むための共通番号制度徹底解説 ~そんな共通番号制度で大丈夫か?~ MIAU Presents ネットの羅針盤」が取り扱っていた「番号」制度を考える上でも実際には欠かせないものなのです。 そんなに大切な概念なのに、ぱっと分かりやすい解説というのがなかなか無いのですね。私の大好きな
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
OpenID Tech Night Vol.6 ~OAuth、AXからOAuth HybridまでWeb Identity技術一挙紹介~ | gihyo.jp
OpenID Tech Night Vol.6 ~OAuth、AXからOAuth HybridまでWeb Identity技術一挙紹介~ 2010年5月28日、株式会社野村総合研究所にて、OpenID ファウンデーション・ジャパン主催のOpenID Tech Night vol.6が開催されました。本稿では、本イベントのレポートをお届けします。 はじめに モデレータの株式会社野村総合研究所 勝原さんから、「はじめに」と題して、もはやイベントの恒例となった「Digital Identityとは」という話がありました。 Web Identity Technorogyを「インターネット上で「じぶん情報」を安全に流通させ、サイト同士の連携を行うためのテクノロジー」であると定義し、以前からエンタープライズ向けで利用されているSAMLのようなプロトコルに比べ比較的簡単に実装できるWeb2.0的な認証
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
