OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ
インフラエンジニアが一切コードを書かずにWebサーバーに認証機能を実装した話 | Developers.IO
コンニチハ、千葉です。 AWSのサービスを組み合わせれば、独自の認証基盤を構築できます。例えば、WordPressを限定的に公開する、Apache、 Nginx、カスタムWebアプリなどなど、簡単に認証をかけたい場合、ベーシック認証は昔から利用されてきました。ただし、これはスケーラビリティや運用面でどうしてもつらい場面がでてきます。 そこで、ALBに素敵すぎる組み込みの認証機能が追加されたのでこちらを利用し、コードを一切書かずに認証を導入します。また、OIDCなど認証プロトコルに対応していますが、今回はシンプルにCognitoのユーザープールを利用し、ユーザー管理自体もCognitoに任せます。 要件 今回の想定する要件です。 Nginxを社内ユーザーのみに公開 スタンドアローンのユーザープールを用意(AD、OICD、SAMLなどによる連携なしで、独自でユーザーを管理) ユーザーは管理者が
手っ取り早くウェブアプリケーションにOAuth2認証を導入する - その手の平は尻もつかめるさ
bitly/oauth2_proxyを用いて,ウェブアプリケーションに手っ取り早くOAuth2認証を導入するという話です. oauth2_proxyは良い感じでOAuth2による認証を肩代わりしてくれる君で,何らかのリバースプロキシの認証機構と組み合わせて利用すると簡単にOAuth2ログインを実現することができます. 今回は例としてKibanaにGoogleのOAuth2ログインを導入してみたいと思います. 構成 Kibana bitly/oauth2_proxy nginx +------+ +-------+ +--------------+ +--------+ | | | | ----auth----> | | | | | user | --request--> | nginx | | oauth2_proxy | <--auth--> | Google | | | | | <--
Railsアプリ開発中に思い出す、StrategyとRackミドルウェア - UUUM攻殻機動隊
こんにちは、エンジニアのナカハシです。 最近は、しばらくRailsでのWebアプリ開発に勤しんでいる毎日です。 開発中にStrategyとRackミドルウェアを復習したので、軽くまとめてみました。 Strategyってなんだっけ? 今私が開発に参加しているファンクラブサイトは、複数種類のファンクラブサイトを1つのアカウントでログインできるようにしています。 各ファンクラブサイトのアクセス許可は、共通アカウント基盤に対してOAuth2で行うようにしています。Railsでのこの手のログイン認証を得る場合、対応するomniauth-xxxというgem(omniauth-twitterとかomniauth-facebookなど)を利用すると手軽に実現できるわけですが、それらのライブラリは以下のようなモジュール構造(名前空間)を持っています。 module OmniAuth module Strat
[PHP] わかりやすいOAuth解説サイトまとめ | PHPメモ
先日Twitter APIを使ってBotを作成したときにOAuthと呼ばれる認証処理が必要になった。オープンソースのライブラリがあったので、自前で認証手順を実装する必要が無くて楽できたけど、できればOAuthの基本的な予備知識は押さえておきたい。ネットを検索したらわかりやすい解説サイトが幾つか見つかったので以下にリンクを載せておく。 OAuth Community Site (公式サイト) http://oauth.net/ 非技術者のためのOAuth認証(?)とOpenIDの違い入門 | .Nat Zone – Identity, Privacy and Music http://www.sakimura.org/2011/05/1087/ APIアクセス権を委譲するプロトコル、OAuthを知る - @IT http://www.atmarkit.co.jp/fsecurity/s
npm-Enterprise beta
npm Enterprise Beta npm Enterprise is an on-premise solution for managing private JavaScript modules, from the team that maintains npm and the public npm registry. Runs on your server or VM. Works with the standard npm client. Private namespaced modules to avoid name conflicts. Same patterns and tools developers love for open source. Seamless switching between private and open source projects. No
PHP で OAuth ログインを実装するなら「Opauth」が簡単で便利
以前こんな記事を書いたことがあるんだけど PHPでTwitter APIのOAuthを使う方法まとめ – 頭ん中 そのときから Twitter API の仕様も変わってて この記事をそのまんまなぞったらうまくいかない部分があると思います。 更新しないとなーと思いつつなかなか対応できてないんだけど、 Opauth を使えばここに書いた処理のほとんどを勝手にやってくれるから もうこれでいいんじゃないかという気がしてます。 Opauth – Multi-provider authentication framework for PHP Opauth とは サイトのタイトルにも書かれてるけど、 複数プロバイダに対応した PHP の認証フレームワークです。 Opauth のいいところ 対応ログインプロバイダが豊富 使ったことがあるサービスだけを挙げても すでにこのへんのログインに対応してる。 Bit
OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog
こんにちは. 研究開発グループ ritouです. だいぶ前の記事で紹介したとおり, mixi Platformは様々なユーザーデータをAPIとして提供するにあたり, リソースアクセスの標準化仕様であるOAuth 2.0をサポートしています. mixi PlatformがOAuth 2.0の最新仕様に対応しました | mixi Engineers' Blog mixi Platformをさらに安全にご利用いただくため, OAuth 2.0におけるCSRF対策を目的とした拡張仕様を検討, 導入しましたので紹介します. OAuth 2.0の認可フローとCSRF エンジニアの方であれば, Webサービスに対するCSRF(Cross-site Request Forgery)をご存知でしょう. CSRF攻撃とは悪意のある外部サービスへのアクセスや特定のURLへの誘導などをきっかけとしてユーザーの意図
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
