スマートフォン ネイティブアプリからの OAuth 認証についての悩み - Qiita
iOSアプリを開発していて、FacebookなどのOAuthを利用しつつ、自社のweb apiにアクセスする際の認証・認可の方法を考えています。 具体的にはpinterestはfoursquareなどと同様の仕組みです。 解決策 数人で考えてみました。 1. 自社の web api 認証にOAuth providerのuid, tokenを使いまわす (その場に居た人が大きな声では言えないが、こうしていると言ってていて「それやばいっしょ」って話になったのであえて解決策の1に挙げてますがダメなやつ) 自社の web api でユーザーのヒモ付をOAuth providerのuid, 初回に発行されたtokenで行う token はしっかり守っていないといけないのでは? 本来、OAuth provider 認可に利用するtokenを自分のweb api認証・認可に使いまわすのはだめじゃない?
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
twiwt.org - このウェブサイトは販売用です! - twiwt リソースおよび情報
このウェブサイトは販売用です! twiwt.org は、あなたがお探しの情報の全ての最新かつ最適なソースです。一般トピックからここから検索できる内容は、twiwt.orgが全てとなります。あなたがお探しの内容が見つかることを願っています!
Herokuで作るdevise認証サイト
1. Herokuで作るDevise 認証サイト 2012.5.29 【第2回】渋谷Railsだったり勉強会 @iR3 iRubySystems 福井修 2. 福井修 自己紹介 Twitter:iR3 Facebook:fukui.osamu Ruby大好き中年です。 1977/4より日立大みか工場で、鉄鋼向けプラント制御 システム構築に従事。以後様々なシステム構築36年。 2001/5 初RubyはRuby1.4 2002/11 より関西でRubyの集まりを立上→ Ruby@関西 2009/4 iRubySystems設立。 販売管理、在庫管理システ ムなど構築中。http://irubysystems.com 最近は sendagaya.rb に出没中。 2
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
