OAuth 2.0 Token Revocation
Abstract このドキュメントは、OAuth 認可サーバのための追加エンドポイントを提案する。 そのエンドポイントは事前に取得されているリフレッシュトークンあるいはアクセストークンが不要になったことを認可サーバへ通知することをクライアントに許可する。 これは認可サーバにセキュリティクレデンシャルを削除させる。 無効化リクエストは実際のトークンと、もし該当するものがあれば同じ認可に基づく他のトークンを無効にする。 Status of this Memo This is an Internet Standards Track document. This document is a product of the Internet Engineering Task Force (IETF). It represents the consensus of the IETF community.
OAuth 2.0 の仕組みと認証方法
OAuth 2.0 の仕組みと認証方法について説明します。OAuth 1.0 の認証フローとそれらの問題点から、OAuth 2.0 の認証フロー、認可コード、アクセストークン、リフレッシュトークンまで網羅します。
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
はじめに この文書では、OAuth 2.0 + OpenID Connect サーバーをゼロから一人で実装した開発者(私)が、得られた知見について書いていきます。基本的には「実装時に考慮すべき点」を延々と述べることになります。 そのため、この文書は、「素早く OAuth 2.0 + OpenID Connect サーバーを立てる方法」を探している方が読む類のものではありません。そのような情報をお求めの方は、「Authlete を使って超高速で OAuth 2.0 & Web API サーバーを立てる」を参照してください。そちらには、「何もない状態から認可サーバーとリソースサーバーを立て、アクセストークンの発行を受けて Web API をたたいて結果を得る」という作業を、所要時間 5 ~ 10 分でおこなう方法が紹介されています。 文書のバイアスについて 私は、OAuth 2.0 + Ope
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Implicit Flow では Covert Redirect で Token 漏れるね - OAuth.jp
この記事は、先ほど書いたこちらの記事の訂正版です。 記事に入る前に、まずは全シンガポールにお詫び申し上げますm m さて、Covert Redirect についての説明は…超絶取り消し線はいりまくってる前の記事を読んでください、でいいでしょうか? で、訂正分だけ以下に。 Fragment Handling in Redirect 宮川さんが記事にしてますね。 英語だけど。 で、まぁ要するに、(Modern Browser は) 30x リダイレクト時にリダイレクト元に付いてた URL fragment をリダイレクト先にも引っ付ける、と。 fragment は server-side には送られないけど、クライアントサイドではリダイレクト先に引き継がれる、と。 試しに http://www.idcon.org/#foobar にアクセスすると、http://idcon.org/#fooba
IPA ISEC セキュア・プログラミング講座:Webアプリケーション編 第8章 マッシュアップ:セキュリティトークンとOAuth 2.0
第8章 マッシュアップ セキュリティトークンとOAuth 2.0 OAuth 2.0は、アクセス認可の判断結果(誰々は、どこそこのリソースにアクセスしてよいということ)をネットワーク越しに安全に伝達することを目的としたプロトコル仕様である。このプロトコル仕様を公式に規定した RFC 6749,“The OAuth 2.0 Authorization Framework” が2012年10月に発行された。 マッシュアップに使われる素材サーバ中のリソースを、資格あるユーザに対してのみ開示するように保護して制御する案件において、OAuth 2.0は有用な手段となる。 セキュリティトークンと引き換えにリソースを得る構図 マッシュアップに組み入れるゲストリソースには、有償のものや守秘性の高いものもあり得る。このようなリソースを提供する素材サーバは、通常、アクセス制限を設け、これらを保護するようにする
OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog
こんにちは. 研究開発グループ ritouです. だいぶ前の記事で紹介したとおり, mixi Platformは様々なユーザーデータをAPIとして提供するにあたり, リソースアクセスの標準化仕様であるOAuth 2.0をサポートしています. mixi PlatformがOAuth 2.0の最新仕様に対応しました | mixi Engineers' Blog mixi Platformをさらに安全にご利用いただくため, OAuth 2.0におけるCSRF対策を目的とした拡張仕様を検討, 導入しましたので紹介します. OAuth 2.0の認可フローとCSRF エンジニアの方であれば, Webサービスに対するCSRF(Cross-site Request Forgery)をご存知でしょう. CSRF攻撃とは悪意のある外部サービスへのアクセスや特定のURLへの誘導などをきっかけとしてユーザーの意図
アイデンティティ管理技術解説:IPA 独立行政法人 情報処理推進機構
背景と目的 今日のアイデンティティ管理技術は、人々に付す識別子(ID)のみを扱う技術ではなく、多様な属性情報を管理するものとなっています。属性情報をオンラインで利用する際にも複数の目的があり、人々を本人であると認証すること、人々の属性情報を交換することの他、人々の属性情報に基づいてアクセスを制御すること等が挙げられます。そして、それぞれの目的に利用できる技術仕様が複数、策定されています。 このようにアイデンティティ管理技術は多種多様性を増しています。 しかし、アイデンティティ管理技術を全体観をもって解説する取り組みがなされてこなかったので、情報処理技術者が体系的に把握して学習することが容易ではない状況にあります。今日、多種のアイデンティティ管理技術の中から自らのシステム構築に適するものを選択したり、他者が採用しているアイデンティティ管理技術との間で相互運用可能性を確保することを検討したりす
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
[WAAD] OAuth2.0 への対応状況まとめ&ちょこっと OpenID Connect も
まず初めにお断りしておきますが、公式リソースでは Windows Azure Active Directory の OAuth2.0 への対応自体はアナウンスされていますが、内容について明確には言及がない状態なので、あくまで今日時点で色々と探索した結果を書いており、間違いや今後の変更などは高い確率で発生すると思われます。あくまで、エンドポイントを探して叩いてみたらこんな結果が返ってきた、という状態であるとご理解ください。 さて、始めます。 WAAD でアプリケーションを追加すると様々なエンドポイントが付与されます。 基本的には WAAD Authentication Library(AAL)を使ってアクセストークンなどを取得することが前提のようですが、折角そこに OAuth のエンドポイントがあるので叩いてみたいと思います。 まず、叩き方ですが、先日日本語訳がされた OAuth2.0 の仕
![[WAAD] OAuth2.0 への対応状況まとめ&ちょこっと OpenID Connect も](https://cdn-ak-scissors.b.st-hatena.com/image/square/d20f21fd22b4c955bbd4559a1ca60443c10ddad6/height=288;version=1;width=512/https%3A%2F%2Fblogger.googleusercontent.com%2Fimg%2Fb%2FR29vZ2xl%2FAVvXsEiaKOKNVns-APcbznVqOmnRJa-6BHGYVIhPr_XkP1og1Blrx5MrTdzIDD_jrdRrmBLsoBcb3WWIzMHoOrq-EhvnB4wCT5bAyVmPE6tx3F4DVM48MZYiZuyV8aTlPgAGN_3e_Hs47j9EyqQ%2Fw1200-h630-p-k-no-nu%2F00.endpoints.png)
Yahoo! JAPANのOAuth 2.0&OpenID Connect実装を試してみた! - r-weblife
こんばんは、ritouです。 今回のY!Jの新機能は気のせいじゃなさそうだ! ということで、今回のエントリは長いので気をつけてください。 何が起こった ここにいろいろ書いてあります。 http://developer.yahoo.co.jp/yconnect/ 名称はYConnect OAuth 2.0の仕様に準拠した OpenID Connectもサポート "準拠"と"サポート"の使い分けが気になりますがまぁ進めましょう。 OAuth 2.0 OAuth 2.0準拠といえばmixiですね。 YConnectでは2種類のClientからの利用を想定しています。 サーバーサイド クライアントサイド それぞれConfidential/PublicなClientのことですね。 早速登録してみました。 誰かも言ってましたが、redirect_uriの設定はいったん登録した後に編集しないといけないと
OAuth2サーバをPHPで実装する。その1 « Hello My World
ただいま。ドバイから帰ってきた清水です。 とある案件で、認証系をOAuthでやりたいんだよねぇ。ってことだったので、OAuthサーバについて調査することになりました。 http://oauth.net/2/ 一応、あるみたいですね。なんかPHPでの環境も作れるっぽいじゃないですか。 でもDraftってあるので、正式なバージョンとして使っていいのかチョット疑問です。 と、その前に認証って言うと、LDAP, OAuth, OpenID, SAML, xAuth… なんか色いろありますよね。 自分も実は曖昧にこの辺を使ってきた経緯があるので、客に突っ込まれた時に困る。ということでチョット調べてみました。 http://www.goodpic.com/mt/archives2/2008/01/openid_oauth.html http://www.sakimura.org/2011/05/10
CodeIgniterにOAuth2のサービスプロバイダーとクライアントを実装する。
CodeIgniterにOAuth2のサービスプロバイダーとクライアントを実装する。 コードはこちらで公開しています。(データベースの設定、oauth2-server-phpのインストールと修正が必要) 凡例 ドメイン example.jp ドキュメントルートパス $HTDOC_DIR サービスプロバイダー用ライブラリ bshaffer/oauth2-server-php · GitHub クライアント用ライブラリ(CodeIgniter Sparks) philsturgeon/codeigniter-oauth2 · GitHub サービスプロバイダー側 http://example.jp/oauth2/ http://example.jp/api/ クライアント側 http://example.jp/client/ OAuthの情報を保存するためにMySQLを使用する サービスプロバ
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
deferloader
salesforceアクションをボタンで配置~レイアウトは好きにさせて!~ By hiko|11月 20, 2018|salesforce, Salesforce.com, | こんにちは。営業部の彦部です。 最近めっきり寒くなりましたがいかがお過ごしでしょうか。 先週、「コールセンター/CRMデ… Read More
developerforce - Calendar of Upcoming Events
The content on this page has been retired. Have you tried the links above or the search bar?
ちょっと前に話題になったOpenID Connectの仕様とは? - r-weblife
OpenID Connectでググってみたものの、紹介記事ばかりで中身を説明してる人があんまりいないようでした。 仕様ドキュメント?かどうかわかりませんが、まともなドキュメントは http://openidconnect.com/ しかありません。 英語読めるエンジニアならこれ読んでだいたいわかってるのかもしれませんが、ざっとまとめておきます。 3行で説明 OAuth 2.0を使って、URL形式のUser Identifierを返す User Identifierは User Info APIとして属性情報取得に利用できる host-metaを利用した独自Discoveryと、DynamicにClient登録のしくみがある 処理フロー OpenID Connect on Web Server Profile シーケンスはこんな感じですね。 ここでは、一番処理の多いケースを考えます。 条件は
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth
https://oauth.jp/post/43684099914/json-web-token-jwt/
TwitterのOAuthの問題の補足とか