kwryのブックマーク / 2017年5月18日 - はてなブックマーク

kwry id:kwry

2017年5月18日のブックマーク (4件)

PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと - Qiita
PKCE とは PKCE をご存知でしょうか？これは、今から一年ほど前の 2015 年 9 月に RFC 7636 (Proof Key for Code Exchange by OAuth Public Clients) として公開された仕様を指しています。認可コード横取り攻撃 (authorization code interception attack) への対策として策定されました。細かい条件は幾つかありますが、スマートフォンで OAuth クライアントを作る場合は、クライアント側も認可サーバー側もこの仕様の実装が強く推奨されます。これを実装しておかないと、悪意のあるアプリケーションに認可コードを横取りされてしまい、結果、悪意のあるアプリケーションがアクセストークンを取得できてしまいます。この仕様自体のちょっとした解説は、「OAuth & OpenID Connect 関連仕
kwry 2017/05/18
oidc
リンク
OAuth & OpenID Connect の不適切実装まとめ - Qiita
はじめに世の中の OAuth & OpenID Connect の不適切実装の事例をリストしています。公式ドキュメントに「ドラフト段階の仕様をサポート」と断り書きが書いてあっても、最終仕様に違反している場合はリストしています。内容は適宜更新していきます。OAuth & OpenID Connect を実装する際の注意事項として参照していただければと思います。仕様書を読むのは面倒だけど、OAuth & OpenID Connect をちゃんと実装しないといけない立場にある方は、是非 Authlete の使用を検討してください。(by Authlete 創業者) 事例 1. リダイレクト URI を正しく検証していない John Bradley 氏の記事「Covert Redirect and its real impact on OAuth and OpenID Connect」を参照し
kwry 2017/05/18
oidc
リンク
The Open Banking Standard, 7c. Security の解説 - Qiita
はじめに英国の Open Data Institute という団体が Open Banking Standard というレポートを 2016 年 2 月 8 日に公開しました。大雑把に紹介すると「英国の金融業界 Web API 化への指針を示した文書」となりますが、より詳しい紹介はマネーフォワード社の公式ブログにある「ODIによる銀行のオープンスタンダード」というエントリーを参照していただければと思います。このレポートは、金融業界の方々が目を通したほうがよい文書ではありますが、「7c. Security」(41 ～ 54 ページ) の内容は、技術的な背景知識を持っていないと読むのが難しいので、この記事で少し解説しようと思います。 (背景事情：当レポートの読み合わせを行う「銀行オープンスタンダード勉強会」へのお誘いを受けたので、資料を準備している次第です。) 注意：この記事はまだ完成して
kwry 2017/05/18
oidc
リンク
[前編] IDトークンが分かれば OpenID Connect が分かる - Qiita
はじめに「解説記事を幾つも読んだけど OpenID Connect を理解できた気がしない」― この文書は、そういう悩みを抱えたエンジニアの方々に向けた OpenID Connect 解説文書です。概念的・抽象的な話を避け、具体例を用いて OpenID Connect を解説していこうと思います。この文書では、JWS (RFC 7515)、JWE (RFC 7516)、JWK (RFC 7517)、JWT (RFC 7519)、ID トークンの説明をおこないます。追記（2020-03-20）この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました！ 1. 『ID トークン』を発行するための仕様一般の方々に対しては「OpenID Connect は認証の仕様である」という説明で良いと思います。一方、技術的な理解を渇望しているエンジニアの方々に対
kwry 2017/05/18
oidc
リンク
- 2017年5月19日
- 2017年5月18日
- 2017年5月16日