単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
JavaScript製のOAuthライブラリ·jsOAuth MOONGIFT
jsOAuthはJavaScript製のOAuthライブラリ。 [/s2If] jsOAuthはJavaScript製のオープンソース・ソフトウェア。今ではWeb APIを公開しているサービスは珍しくない。そして従来は配信系ばかりだったが、今ではWeb APIを通じたデータ登録や更新も可能になっている。そんな時の認証の仕組みに使われているのがOAuthだ。 テスト用コード(ここままでは動かないが…) OAuthはTwitterで最も知られるようになったが、元々はFlickrやGoogle、Facebookなどでも使われている機能ベースの認証技術だ。そしてそれをJavaScriptベースで実現したのがjsOAuthになる。 jsOAuthはJavaScriptによる実装なので、ソースコードが見えてしまう。OAuthではシークレットキーを使うので、それが丸見えというのは考えものだ。だがWebブ
Maraigue風。:[Ruby][Twitter] OAuthのアクセストークンを、ブラウザなしで、Twitterのユーザ名およびパスワードのみを用いて取得する(通称:xAuth)ためのRubyのコード
2010年02月15日 [Ruby][Twitter] OAuthのアクセストークンを、ブラウザなしで、Twitterのユーザ名およびパスワードのみを用いて取得する(通称:xAuth)ためのRubyのコード タイトル長めですが、大事なことなので全部書きました。 コードはこちら: メインのライブラリ/タイムラインを取得するサンプル gist: 304123 - GitHub(最終更新:2010.02.15 11:26) 発言を投稿するサンプル(上記ライブラリと組み合わせてご利用下さい) gist: 306853 - GitHub(最終更新:2010.02.18 3:09) 概要 Twitterでは、OAuthという認証のシステムが利用できる。 従来は、(ユーザ認証を伴う)TwitterのAPIを利用する際、APIの呼び出しのたびにユーザ名・パスワードを送信する必要があった。一方OAuthでは
Ruby Twitter Gem by John Nunemaker
Install $ sudo gem install twitter note: the twitter gem now works with hpricot 0.5+ API Wrapping I do my best to keep it easy to use. Below are some code samples showing a few of the methods. twit = twit twit.update('watching veronica mars') puts "Public Timeline", "=" * 50 twit.timeline(:public).each do |s| puts s.text, s.user.name puts end puts '', "Friends Timeline", "=" * 50 twit.timelin
第3回 OAuth Consumerの実装(応用 : smart.fm APIおよびGoogle Data APIsの利用) | gihyo.jp
ゼロから学ぶOAuth 第3回OAuth Consumerの実装(応用 : smart.fm APIおよびGoogle Data APIsの利用) 今回は、OAuth Consumerの実装の応用として、smart.fm APIとGoogle Data APIsの利用について解説します。 ruby-oauth の使い方 今後RubyでOAuth ConsumerおよびOAuth Service Providerを実装する場合は、ruby-oauthを利用することになるでしょう。第2回でruby-oauthのインストールは終わっているはずですが、まだインストールしていない人は以下を実行してください。 gem install oauth Ruby OAuth GEMのサイトにも利用方法が紹介されていますが、実際には各Service Providerが要求するパラメータがあったりするため、この通
oinume journal
Raycastを使い始めて1年経ったので、どういうことに使っているかを振り返ってみる。去年書いた AlfredからRaycastに移行した - oinume journal の記事から少し使い方が変わっているところもあるのでメモがてら。 基本的な使い方 Cmd + QをRaycast起動のショートカットとして割り当てている。Pro版は使っていないのでAI機能などは使ったことがない。 ブラウザのブックマーク検索など、よく使うけどHotKeyを割り当てるほどでもないRaycastコマンドはbmのようにAliasを設定している。 Cmd + QでRaycastを起動してbmと入力するとブックマークの検索ができるので楽ちん アプリケーションランチャー機能 アプリケーションを起動するときのランチャーとして使っている。よく使うアプリにはHot Key(ショートカット)を割り当ててる。 Clipboar
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Twitter公式アプリのコンシューマキー流出?
Google Code Archive - Long-term storage for Google Code Project Hosting.
http://www.machu.jp/posts/20071106/p01/