OpenID Connectを体験できるデモ環境の紹介 - r-weblife
こんばんは、ritouです。 最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。 OpenID Connect Sample OP まずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。 http://oauth.jp/openid-connect-rubygem OpenID Connect の OP & RP 用の RubyGem をリリースしました。 https://github.com/nov/openid_connect 同時にサンプル OP サイトも公開しました。 サイト: https://openid-connect.herokuapp.com/ ソース: https://github.com/nov/openid_connect_sample このサンプルOPはFacebook/Googleの
GoogleでOpenID Connectを体験! - r-weblife
おはようございます、ritouです。 GoogleがOpenID ConnectのEndpointを実装したと聞きました。 Google's OpenIDConnect endpoint is now live in production, and we have a sample RP that shows the code required to use it at: http://oauthssodemo.appspot.com/step/1 We have sent the config details for our endpoint to a few developers/vendors to let them start integrating with it, though we are not trying to formally announce it's availa
ヤフーのログインに関する微妙な記事でOpenIDにあらぬ疑い? - r-weblife
こんばんは、ritouです。 この記事を読まれた方はいるでしょうか。 http://journal.mycom.co.jp/news/2011/05/19/098/index.html 不正ログインが急増したといわれ、漏えいしている疑惑まで出てきたヤフーからの公式コメントを解説する説明のようです。 ここでいう公式コメントとは、これのことですかね。 Yahoo! JAPAN - プレスリリース マイコミジャーナルの記事を見ていきます。 Yahoo! JAPAN IDは、同一IDを外部のWebサービスでも利用できる「OpenID」に準拠している。Yahoo! JAPANではログインの履歴を確認できる「ログイン履歴」ページが用意されているが、この画面には、外部のサーバを経由してYahoo! JAPANの認証機能へアクセスを行ったものの履歴も表示される。 http://journal.mycom.
Facebookの友達検索ツールってあやしくなくなくなーい? - r-weblife
ちょっと古いんですが、こんな記事がありました。 Facebook、ナワバリ荒らしとしてPower.comを訴える | TechCrunch Japan また、Power.comがサーバにユーザーのログイン・データを保存していること、Facebookの独自情報(ユーザー情報)をスクレイピングしていることなどを特に問題視している。 ある意味で、これは昨年5月にFacebookがGoogleのFriend Connectをブロックしたのと同様のケースだ。 サードパーティーのサービスがFacebookにアクセスしたいなら、Facebookが望む方法でアクセスしなければならない ―APIあるいはFacebookConnectを使わねばならないというのがFacebookの方針だ。 たとえユーザー自身が承認したとしても、それ以外の方法でのFacebookに対するアクセスには厳しい対応がなされることになる
OAuth 2.0のToken無効化に関する仕様について調べた - r-weblife
こんばんは、ritouです。 久々なので、短めな仕様を調べました。 draft-lodderstedt-oauth-revocation-02 - Token Revocation Refresh/Access Tokenの無効化 OAuthのToken無効化と言えば、Twitterで怪しげなClientの暴挙を止めるためにAccess TokenをRevokeするという場面が思い浮かぶかと思います。 Token無効化は、セキュリティや使いやすさととても深く関連しています。TwitterのOAuthさんは私たちにいろいろなことを教えてくれますね。 今回の仕様では、ClientからAuthZ ServerにToken無効化のリクエストを送る方法が定義されています。 Clientは、AuthZ Serverのドキュメント等に書いてあるToken Revocation Endpointに次のよう
Proposal : OpenID UI Extension for RP Proxy - r-weblife
1. The additional player of OpenID : "RP Proxy" The current OpenID Auth spec defines the authentication process between three primary players. Relying Party OpenID Provider End User I think that there is another player between RP and OP. Here, I call the the fourth Player "RP Proxy". The RP Proxy sends the OpenID Authentication request to OP instead of RP. And they receive an authentication respon
OAuth関連トピックキャッチアップ : Y!は1.0クローズ、Gはanonymous OAuthを実装 - r-weblife
■ Yahoo! IncのOAuthがRev Aのみになる Yahoo!Incは今まで、4月にセキュリティの問題が見つかった際に一時的にOAuthのシステムを止めましたが、その後はユーザーに警告画面を出すものの動作はするように戻していました。 よって、OAuth Core 1.0とその問題が修正された仕様のOAuth Core 1.0aの両方の仕様でOAuthを利用できる状態になっていたのです。 これは既にOAuth Core 1.0を利用していたアプリケーションへの配慮だったのだと思われますが、11/9にOAuth Core 1.0のほうの仕様ではOAuthの処理ができなくなるようです。 http://developer.yahoo.net/blog/archives/2009/11/reminder_we_are.html http://developer.yahoo.net/foru
OP-Initiated Flow - r-weblife
久々にOP駆動のOpenID利用フローを考えました。 OP駆動のAssertionについてはこちらのエントリを参考してください。 OP initiated の認証に関するメモ - Yet Another Hackadelic OpenID Unsolicited Positive Assertion - =kthrtty/(+blog) 簡単に言い切るところから始めましょう。 こんなしくみを今回考えます。 OPからRPへシームレスに識別子+属性を提供 現実的に使われそうな例を出したいので、ネットショッピングのフローにOpenIDをねじ込んでいきます。 以下のようなユースケースを考えました。 価格.comみたいな価格比較サイトでほしい商品を探す 気に入った商品を扱う複数のショッピングサイトのなかから一番安いショッピングサイトを選択 レビューなどもまぁまぁなので、購入するためにショッピングサイ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
