自社サービスの機能を簡単にAPIで提供出来てしまう!gem doorkeeperが凄い。 - @camelmasaの開発日記
自社サービスにAPIを実装する事ってあまりないですよね。 kamadoのプロダクトも現在はAPIは公開してません。 もし提供するのであれば、簡易的な方法ですが、ユーザーテーブルにtokenカラムを追加して、API用のルーティングを作成する…という方法が考えられると思います。 しかし、その実装時間でより良いAPIが実装出来るとしたら素晴らしいですよね。 そこで紹介したいのがgem doorkeeperです。 日本語の記事が見当たらなかったので記事にしました。 github https://github.com/applicake/doorkeeper gem doorkeeperってどんな機能があるのか? 簡単に説明すると、 ・アプリケーションの管理機能 ・アプリケーションの承認管理 ・スコープの設定 いってしまえば、Facebook API(に近い実装)そのまま実装出来ます。 しかもOAu
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
TwitterのOAuth認証を使ったサービスを開発する際の注意(その2) - Sacrificed & Exploited
前回のエントリで、対策が具体的でなかったのは、SHA-1などのハッシュ関数を使っても問題ないか自信が持てなかったためです。すみません。とりあえず自分で納得できる対策が調べられたと思うので書いておきます。 twitterIDをそのままSHA-1などの暗号学的ハッシュ関数にかけただけでは弱いので避けるということは知っていましたが、単なる固定文字列のsaltを付け加えるだけだと、常に同じ値が生成されるのでこれでいいのか自信が持てませんでした。 で、調べてみたら自動ログイン用のクッキーの値に必要な特性は、セッションIDの特性によくにていて、値の生成は「ユーザIDや時刻等の情報と擬似乱数とを混ぜ合わせた文字列に対してハッシュ関数を使用する」で問題なさそうだということが分かりました。 また、管理方法もに似ていて、「ログインごとに認証用のキーとなる値を新しい値に更新しなければいけない」ということも分かり
Twitter API で DM (ダイレクトメッセージ) の送受信に別途許可が必要になったので、その対応方法のまとめ - Yaks
Twitter API で DM (ダイレクトメッセージ) の送受信に別途許可が必要になったので、その対応方法のまとめ 2011年 5月 18日づけで Twitter の API を経由して DM を送受信する場合には別途アクセス許可を行う仕様に変更される、という公式のアナウンス (英語) がありました。 以前から API のアクセス権を細分化してほしいというリクエストが各方面で見られましたが、これに答える形での仕様変更としています。 具体的には、これまで API のアクセス権には Read and Write (情報の読み書き)、Read only (読み込みのみ) という 2パターンしかありませんでした。DM の操作に関してもこのアクセス権によって読み書き、または読み込みのみが行えていました。 ここに新たに Read, write and Private message という選択肢が
Facebook APIのつかいかた (OAuth 2.0) - Censorable log
FacebookのAPI、以外と日本にまとまった文献が少ない。 日本語版が少ないのと、コロコロ仕樣が変わっているせいだ。 「Facebook Connect API」なんかで検索しても、ぜんぜんいいページに辿りつかないので書く。 Twitterにくらべて、FacebookのOauth2.0 APIは、すごく簡単にできている。 Twitterもそうだが、「認証して見れるデータ」と「認証しなくても見れるデータ」の2種類がある。 認証しなくても見れるデータのほうが、セキュリティも低いし、入力もプログラムもカンタン。 ■認証しない系 たとえば、ぼくの基本情報は、 https://graph.facebook.com/hiroki.nakamura https://graph.facebook.com/●●●● こんだけ。 これで、基本情報がJSON形式で、充分とれる。 さらに、 https://g
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
Google App EngineでTwitter 4jのOAuth認証を行う方法 | TechBooster
Google App Engineでは、Twitter4Jを用いたOAuth認証を利用することができます。 OAuth認証を利用することで、Twitterアカウントを用いてアプリケーションにログインする認証機能を実装することができます。 図:TwitterのよるOAuth認証ログイン画面 GAEアプリケーションにTwitter4J を利用する流れは以下の通りです。 GAEアプリケーションのプロジェクトを作成 アプリケーションのデプロイ Twitter Developpersにアプリケーションの登録 1.および2.については「 GAEで新規プロジェクトを作成する」を参考にしてください。 また、3.については、「TwitterでOAuth認証を行う(1:Twitterへのアプリケーション登録) 」が参考になります。 今回はTwiter Developpersへのアプリケーション登録までが済んで
サーバーサイドJAVAでFacebookにログイン - 前人未踏の領域へ Androidアプリ開発編
自分のWebサイトからFacebookでログイン出来るようにしたい、サーバーからFacebookに対していろいろやりたい。そんな人の為に。 参考 https://developers.facebook.com/docs/authentication/server-side/ ステップ ユーザーをOAuthダイアログにリダイレクト ユーザーによるアプリケーション認証 ユーザーがリダイレクトによりアプリに戻ってくる コードからアクセストークンに変換 アクセストークンを使ってグラフAPIにリクエストを送信 0.アプリケーションの登録 自分のサイトのURLをFacebookに登録する。まずはここから。必須作業です。 1.ユーザーをOAuthダイアログにリダイレクト ログイン画面を作成し、そこから以下のURL、パラメータでアクセスさせる。またはいったん自身のサーブレットなどにリクエストを飛ばし、そこ
ログインフローを手動で構築する - Facebookログイン - ドキュメンテーション - Meta for Developers
デスクトップアプリでFacebookログインを使用するには、ログイン処理を実行するアプリ内にウェブブラウザー(ウェブビュー)を埋め込む必要があります。 ログインステータスの確認FacebookのSDKを使用するアプリは、組み込み関数を使って、利用者がログインしたかどうかを確認できます。それ以外のすべてのアプリでは、利用者がいつログインしたかを保存する独自の方法を作成する必要があります。ログインしたことを示すものがない場合、ログアウトしている前提で進められます。利用者がログアウトしている場合、適切なタイミングで(ログインボタンをクリックしたときなど)、アプリによってログインダイアログにリダイレクトする必要があります。 利用者のログイン利用者がアプリやFacebookにログインしていなくても、ログインダイアログを使い、両方にログインするプロンプトを出すことができます。利用者がFacebookに
TM's Workspace - Play FrameworkでOAuth認証利用 その2:Facebook
前回の続き。 今度は、Facebookアカウントによる認証を実装します。 → サンプルページ 3.Facebook FacebookアカウントによるOAuth認証を実装します。 FacebookのOAuth認証は、Playの配布物にサンプルプロジェクトが含まれているので、まあ、簡単に実装できました。 FacebookのOAuth認証は、Callback URLがlocalhostでは動かないので、ネット上に環境がある方が良いかもしれません。 1)アプリケーションの登録 Facebookのアプリページで、アプリケーションを登録しました。 2)FacebookAuth.javaの実装 Facebookのコードもほぼサンプル通りです。Twitterと違い、OAuth2.0用のクラス群を利用します。 package controllers; import java.util.HashMa
JavaScript SDK
2011年07月03日14:12 by oklahomer JavaScript SDK カテゴリドキュメントJS SDK http://developers.facebook.com/docs/reference/javascript/ JavaScript SDKは、全てのGraph APIとDialogへのアクセスをJavaScriptを介して行うことを可能にします。認証やXFBML版のSocial Plugins表示を行うリッチなクライアントサイドの機能を提供します。 JavaScript SDKの大部分の関数はアプリケーションIDを必須としますが、アプリケーション登録することで取得することができます。 使い方の例は、Facebook for Websites とAuthentication guideを参照してください。 JavaScript Testコンソールを用いてJavaS
IDE4Laszlo
IBM TechXchange Community Together, we can connect via forums, blogs, files and face-to-face networking. Find your community Where is my content? If you’re looking for developerWorks content or a Support forum and ended up here, don't panic! You are in the right place. The content you're looking for. This page will help you find the content you are looking for, get answers to your questions, and f
Androidのド肝 » facebook認証をrestfbを使って試してみた
facebook認証をrestfbを使って試してみたfacebook認証を試してみたので、まとめてみました。 facebookのデータを扱うAPIはGraph APIというようで、公開指定されているフィールドはaccess_tokenが無くても取ってこれます。限定公開しているようなデータはOAuth認証する必要がありますが、facebook認証はOAuth2.0のため、access_token取得時にどの情報を扱えるのかというscopeの指定ができたり、OAuth1.0?では非常にめんどくさかったaccess_token取得フローもかなりシンプルになって、扱いやすくなっているのが利点があります。 今回はrestfbというjavaのライブラリがあったので、それを使って実装してみました。ただ、restfbはaccess_token取得の部分はサポートしていないので、その部分だけ自前実装にな
本当に知ってる?最低限押さえたいOAuthのマナー|【Tech総研】
前回は、Webサービスやアプリを使っているとよく見かける「許可」ボタンについて、ユーザーの立場に立って解説をしました。「許可」ボタンは、ユーザーが情報を預けているサービス(SNS等)とは別の第三者(アプリ)が、ユーザーの情報を見たり、書き換えたりするために、ユーザーに事前に「許可」を取るためのものでしたね。そして個人情報を収集するスパムアプリの被害を受けないために、ユーザーが「許可」ボタンを押してよいアプリかどうかを判断する方法を3ステップでご紹介しました。 「許可」の仕組みは技術的には「OAuth」(オーオース)と呼ばれ、特にWeb系の開発者にはご存じの方も多いと思います。OAuthは処理を代行してくれるライブラリ等が充実していて、簡単に「動かす」ことができます。しかしOAuth利用の前提となるマナーを理解していないために、知らず知らずのうちにユーザーの信頼を失いかねない行為をしてしまう
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
【Facebook】OAuth2.0パラメータ | 三流技術者の備忘録