単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Facebook と Mixi のに対応したので気付いたことメモ : 管理人@Yoski
さて、いろいろとバタバタしているツイキャスですが、ついついミクシィとFacebookに対応してみました。 で、例のごとく気付いたこと殴り書きにして晒しておきますので、興味ある方はどうぞ。 ■対応方法 対応方法には OpenID での連携、Mixi Connect (Facebook Connect) での連携、Mixi アプリ (Facebook アプリ) の3つの方法があります。(あとプラグイン的なお手軽連携とかもあるけど) で、OpenID は終わってるからもう論外として、Mixi Connect にするか アプリにするかってのは一つ悩みどころになるわけです。 - Mixi コネクトにすると・・・ 広告とか自由、画面も自由度満点。MixiボイスもAPIでたたける。が、取得できる情報が少ない。 - Mixi アプリにすると・・・ 広告や画面の制約があるので、独自設計のところが出てくる。M
Objective-CでTwitter APIを使う 色々 - すぎゃーんメモ
Twitter APIの認証 Twitter APIの使用は、現在"BASIC認証"と"OAuth"の2通りの方法が用意されている。が、今年6月(?)でBASIC認証が使えなくなるという噂で、今後はAPIを使用するのにはOAuthを使用する必要が出てくるようだ。 まぁBasic認証はパスワードだだ漏れになっちゃうからやめておこうよ、という話ですかね。 Basic認証 - Wikipedia Code — OAuth iPhoneアプリでTwitter APIを使いたい場合 結構iPhoneのTwitterクライアントアプリってたくさんあるけど、どういう実装なのだろう? 大抵は初回起動時に設定画面でユーザー名とパスワードを入力させて、それを使ってBASIC認証でアクセスしているのではないのかな? BASIC認証を使うAPIアクセスの実装は比較的簡単。(base64エンコーディングを実装せずに
OAuthの仕様について 〜署名?それっておいしいの?〜
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤裕介です。 OAuthを使ったアプリを実装している方の多くは特にパラメータの署名まわりの部分で少し詰まることが多いように見受けられます。署名はOAuthのキモとなる仕組みなので今回はこれに関する記事を書いてみようと思います。 署名の仕組み OAuth(以後OAuth Core)の仕様では、一般的な署名の仕組みを使ってリクエストの内容の改ざんや送信者のなりすましをされにくくしています。いまのところ以下の3つの署名方式に対応しています。 HMAC-SHA1 Service Provider(以後SP)側でConsumerkeyとSecret(秘密鍵)のペアをConsumerに発行し、APIリク
Twitterによる簡易版OAuth: "xAuth"
最近にわかにTwitter APIのxAuth認証が話題になっています。これは主にデスクトップアプリケーション向けに用意される認証方式で、簡潔に言うと「Webブラウザで認証画面を開く必要のないOAuth」といったところです。 従来のOAuth認証ではまずアプリケーション(OAuthコンシューマ)がTwitterに接続してRequest Tokenを取得し、認証画面を開いてRequest Tokenを承認させ、承認されたRequest Tokenを使ってAccess TokenとToken Secretを取得することによって各APIにアクセスできるようになります。しかしこれはアプリケーション側の実装が複雑になる上、デスクトップアプリケーションの場合はわざわざWebブラウザへ切り替えなければならず(ブラウザを内包するものもありますが)、ユーザにとっても面倒なものです。 そこで提案されたのがxA
Social Website Tutorial (v0.9) - OpenSocial
OpenSocial Foundation Moves Standards Work to W3C Social Web Activity W3C and the OpenSocial Foundation announced today that as of 1 January 2015, OpenSocial standards work and specifications beyond OpenSocial 2.5.1 will take place in the W3C Social Web Working Group, of which the OpenSocial Foundation is a founding member. The W3C Social Web Working Group extends the reach of OpenSocial into the
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
