OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する - r-weblife
おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 👹秋田の猫🐱 (@ritou) July 6, 2019 OAuth 2.0で言うところのClientの視点から、ここに気をつけて実装しましょうという話ではありません。 OAuth 2.0で言うところのServerの視点からみて、Clientにこんな実装されたらたまんねぇなっていうお話です。 最終的には一緒な気もしますが、とりあえず始めます。 state OAuth DanceにおけるCSRF対策としての state パラメータについて簡単に整理します。 Clientがセッションに一意に紐づく値として生成、管理 ClientがA
アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita
このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし
一番分かりやすい OAuth の説明 - Qiita
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の
Railsではてなapiを使うときに参考にした記事やgemのまとめ - Qiita
Qiitaでストックしている記事をはてなブックマークにブックマークするWebサービスを作りました で触れた、参考にした記事やgemなどをまとめておきます。 記事まとめ はてブAPIでwebサービスを作りたい全ての人に向けて書きました 一番下にapi利用サービス例があるのが良い。 Consumer key を取得して OAuth 開発をはじめよう - Hatena Developer Center 基本です。一番下にあるrubyのサンプルがかなり役立ちました。 Ruby ではてな OAuth のアクセストークンを取得する - kymmt's note サンプルがあり、わかりやすい。 RailsでいろんなSNSとOAuth連携/ログインする方法 - Qiita deviseとomniauthを使った、各種SNSとの連携まとめ。もちろんはてなも含まれている。 ただ、自分は今回deviseやomn
[Mastodon][Python3]MastodonのAPIとTwitterの隠しAPIを使ってニュースBOTを作る - Qiita
これだけで使えるようになります。 初期設定 ますどんのインスタンスと連携 ここを参考にして下さい Twitterの設定 Twitterのニュースを取得するには隠しAPIのnews/topを使います。 恐らくリクエストには公式APIキーが必要なのでこことかで公式APIキーを取得しましょう。 コード こうなりました。 import json from mastodon import Mastodon from requests_oauthlib import OAuth1Session, OAuth1 ck = "IQKbtAYlXLripLGPWd0HUA" cs = "GgDYlkSvaPxGxC4X8liwpUoqKwwr3lCADbz8A7ADU" at = "xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" ats = "xxxxxxxx
![[Mastodon][Python3]MastodonのAPIとTwitterの隠しAPIを使ってニュースBOTを作る - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/cbc1f0f7d57c0fbd7dc87d81bc07542c36a83eff/height=288;version=1;width=512/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fqiita-fb-2887e7b4aad86fd8c25cea84846f2236.png)
住信SBIネット銀行、OAuthによる外部サービスとの連携を開始 | スラド セキュリティ
住信SBIネット銀行は25日、APIを介した外部サービスとの連携を開始した(プレスリリース、 マネーフォワードのニュースリリース)。 認証にはOAuthを用い、外部サービスが残高照会や入出金明細照会を行えるようになるという。この第一弾として、マネーフォワードの自動家計簿・資産管理サービスとのAPI接続を25日から開始している。マネーフォワードでは以前、ネットバンキングのパスワードなどを含むアカウント情報を登録させて残高や入出金記録の管理を行わせていることが問題と指摘されていた。住信SBIネット銀行との接続ではOAuthで認証することにより、マネーフォワード側にアカウント情報を預ける必要がなくなる。
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
xAuthの申請方法をまとめました
twitterと外部アプリを連携させるにはOAuthを利用します。 しかし、OAuthで認証するには、ブラウザ上でtwitterへアクセス許可の認証が必要となります。 そこで、直接アプリケーションから認証することができるXAuthの導入を紹介します。 まず、アプリケーションの登録申請が必要となります。 Twitter Application : http://twitter.com/apps ここからアプリの申請を行ないましょう。登録が完了すると、OAuthを利用することができます。 さらにXAuthを利用したい場合は、Twitterサポートと連絡をとる必要があります。 連絡は api@twitter.com から行ないます。 Hi. my name is Hiroaki. My twitter id is kodam_dev. Please permit the access to xA
Twitter、8月31日にOAuthに全面移行 BASIC認証終了
米Twitterは、8月31日(米国時間)からTwitter APIの認証をすべてOAuth方式にし、BASIC認証を終了するとあらためて告知した。 OAuth方式では、ユーザーはサードパーティーのTwitterアプリケーションにIDとパスワードを渡さずに済む。このためセキュリティが高まるとともに、ユーザーがTwitterのパスワードを変えてもアプリケーションをそのまま使い続けられるため利便性も向上するとTwitterは説明している。 Twitterは昨年12月から開発者にOAuthへの移行を通知しており、TweetDeck、Twitterrific、Seesmic、AndroidやiPhone向けの公式Twitterアプリなど多数のアプリが既にOAuthに移行しているという。 関連記事 Twitter、BASIC認証終了を8月に延期 W杯対応で Twitter APIのBASIC認証の終
ウノウラボ Unoh Labs: PECL::oauthでxAuth
yamaokaです。 TwitterのBasic認証によるユーザー認証が6月に廃止されるようですね。 認証はOAuthで行ってください、とのことなのですが OAuthの認証画面を表示するためにブラウザを起動するのがふさわしくないケースや、 そもそも貧弱なブラウザでうまく利用できないケースもあります。 そうした場合の解決方法として、xAuthという仕組みがTwitterに実装されています。 詳しくは次に紹介するweb上の記事を参照してください。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin' In The Free World the.hackerConundrum: Sneak peek at Twitter's browserless OAuth creden
Twitterによる簡易版OAuth: "xAuth"
最近にわかにTwitter APIのxAuth認証が話題になっています。これは主にデスクトップアプリケーション向けに用意される認証方式で、簡潔に言うと「Webブラウザで認証画面を開く必要のないOAuth」といったところです。 従来のOAuth認証ではまずアプリケーション(OAuthコンシューマ)がTwitterに接続してRequest Tokenを取得し、認証画面を開いてRequest Tokenを承認させ、承認されたRequest Tokenを使ってAccess TokenとToken Secretを取得することによって各APIにアクセスできるようになります。しかしこれはアプリケーション側の実装が複雑になる上、デスクトップアプリケーションの場合はわざわざWebブラウザへ切り替えなければならず(ブラウザを内包するものもありますが)、ユーザにとっても面倒なものです。 そこで提案されたのがxA
PHPでTwitter APIのOAuthを使う方法まとめ
この記事以降 Twitter API の仕様が変わっており、このままでは正しく機能しない場合があると思います。近いうちに今のやり方を書くので、それまで参考程度にご覧ください。 Twitter API の OAuth でひととおりやってみた。 忘れないようにメモ。 大雑把な流れ Twitter にアプリケーションを登録する。 Consumer Key と Consumer secret を取得する。 リクエストトークンを取得する。 認証用 URL を取得する。 ユーザーから承認を受ける(bot の場合は自分でやる)。 アクセストークンを取得する。 API にアクセスする。 以下、やった作業の手順です。 事前準備 HTTP_OAuth を使えるようにする OAuth の通信部分そのものは PEAR の HTTP_OAuth を使うことにしたので これをインストールする。 一番めんどくさい部分を
Twitter API を OAuth で認証するスクリプトを 0 から書いてみた - trial and error
どうも。昨日もちょっと twitter に触れましたが、今日も twitter ねたです。 前の post で、チラッと触れた OAuth 認証 (O認証認証みたいでこわい) を使ってみたくなり、自分で 0 から書いて見ました。 既存のライブラリ使えば手っ取り早いですが、仕組みを理解したかったので、やってみるだけやってみました。 結果から言うと、ものすごく面倒です。すごい時間かかりました。 (僕の文章読解能力と、typo 検出能力と、プログラミングスキルが足りなかっただけかもしれないけど) まあ、これの実装については、各所で結構触れられていますが、まあ話を聞いただけじゃイマイチピンとこないものだったのですが、いざ実装してみたらよくわかりました。 OAuth の仕組み OAuth の仕様については、oauth.net の Documentation に書いてあるとおりです。 OAuth Co
Twitter、「OAuth」サポートをすべての開発者に公開
Twitterが、「OAuth」仕様をサポートするインターフェースのベータをすべての開発者に向けて公開した。開発者はこれを利用して、サードパーティーのウェブサイトからTwitterのAPI経由でTwitterにアクセスできる。TwitterのAPIチームを率いるAlex Payne氏が米国時間3月16日、Twitterのつぶやきとして発表した。 OAuthは、オンライン認証のためのオープンな標準だ。OAuthを利用すると、特定のウェブサイトにパスワードなどの情報を保存しているユーザーは、他のウェブサイトでもそのデータを利用できる。しかも、自分のID情報を共有することはない。TwitterのOAuthに関するFAQによると、TwitterのOAuthサポートは数週間前、限定ベータとして一部の開発者に公開されていた。 OAuthの公式サイトでは、OAuthを「客の車の鍵を預かるボーイ」にたとえ
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TweetConsoleの詳細情報 : Vector ソフトを探す!
宿便を出す方法!相性の良いサプリメントを紹介!
OAuth - おなかすいたWiki!