Automation Accountパターン - 世界線航跡蔵
コンテキスト あなたが開発しているサービスはユーザー向けにAPIを提供している。そして、APIを利用するにはユーザーは短寿命の認可情報(たとえばOAuth2トークン)を提示しなければならない。 ユーザーは認可情報が紐付いているアカウントの権限でリソースを読み取ったり、作成したり、所有したり、編集または削除したりする。 ここで、ユーザーは人間(が操作するユーザーエージェント)であることもあるが、人間の手を離れてバックグラウンドで自動実行されるプログラムかもしれない。 また、あなたは悪用目的でアカウントが大量登録されるのを防ぐためにCaptchaを利用したいと思っている。 さらに、課金目的で請求書送付先を登録させたいとも思っているかもしれない。 問題 プログラムが利用するアカウントを安全に管理するのがユーザーにとって困難である。 プログラムは自分でCaptchaを解いたりEメールを受け取るのが
How To Control User Identity Within Microservices | Nordic APIs |
Everyone’s excited about microservices, but actual implementation is sparse. Perhaps the reason is that people are unclear on how these services talk to one another; especially tricky is properly maintaining identity and access management throughout a sea of independent services. Unlike a traditional monolithic structure that may have a single security portal, microservices pose many problems. Sho
認証とアイデンティティの今 | SendGridブログ
この記事は Modern Authentication and Identity: Where Are We Today? の抄訳です。 アプリケーションの認証といえば、多くの人はユーザ名(またはメールアドレス)とパスワードを入力する、例の「ログイン画面」を思い浮かべるでしょう。この方法はあまりにも多くのアプリケーションで利用されているため、「今さら認証について話すことなんてあるのか」と思われるかもしれませんが、認証について本当に理解されているのでしょうか?もっと良い認証方法はないのでしょうか?そして、私たちが信頼を寄せるユーザ名とパスワード無しでは認証ができないのでしょうか?今どきの認証とアイデンティティの世界には、普段よく目にするものよりも優れた方法があります。今回は、「認証とアイデンティティの今」を見ていきます。 ユーザ名/パスワード方式をはるかに超える今どきの認証 ユーザ名/パスワ
トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita
トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べたAPIOAuthWeb TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方について詳しくはこの記事の下のほうに書いた 要求 トークンを利用した認証・認可機構を持つ API を作りたい クライアントがトークンを HTTP リクエストに含めて送信し、サーバはトークンを検証してリソースへのアクセスを許可したい Authorization: Bearer トークン ヘッダでトークンを送る API あるよね、ああいうやつ 疑問 Authorization: Bearer ヘッダは OA
パスワードとの闘い 目次
目次 パスワードとの闘い 現状の認証手法 認証ハードウェアの問題点 生体認証の問題点 パスワードの問題点 増井のWebサービス 増井のWebサービス 理想的な認証 実現要件 エピソード記憶の特徴 エピソード記憶を用いた認証 なぞなぞドア 問題の例 なぞなぞドアの問題点 画像認証 DéjàVu PassFace VisKey 画像選択によるなぞなぞ認証 画像選択方式の利点 画像選択方式の問題点 画像+テキスト選択によるなぞなぞ認証 本棚.orgの例 認証問題画面 認証を解いた後の状態 デモ: 本棚.org 認証問題作成 ユーザが作ったなぞなぞ ユーザが作ったなぞなぞ ユーザが作ったなぞなぞ 画像+テキスト選択の利点 偽答の生成 画像+テキスト選択の問題点 IQAuth.com mixiでの使用例 デモ: IQAuth.com IQAuthの実装 運用実績 その他の画像認証 まとめ End
ウノウラボ Unoh Labs: OAuth プロトコルを知る
こんにちは、naoya です。 昨日の社内勉強会で、OAuth について行いましたので、そのときの資料を公開します。 OAuth プロトコルの解説のあとに、Twitter の OAuth 経由でステータスを更新するクライアントを作ってみたので、そのソースコードをおいておきます。サンプルでは、現在時刻をステータスとして更新しています。ダウンロードは、こちらからどうぞ。ちなみに、OAuth の仕様書では、Authorization ヘッダに埋め込む方法が書いてありますが、Twitter では対応していませんでした。実際に動作を見てみたい人は、サンプルコードを設置してみてください。 サンプルコードに含まれているファイルは、次の通りです。 oauth_twitter.php: まずこのファイルを開きます、Request Token リンクをクリックすると認証トークンを取得開始します oauth_t
livedoor Authの運営終了のお知らせ
livedoor Authの運営終了のお知らせ 2021年3月末をもちまして、livedoor Authの運営を終了いたしました。 長きに渡りご愛顧をいただきまして、誠にありがとうございました。 livedoorホームへ戻る
Flickr の認証API - naoyaのはてなダイアリー
認証API をどうするか、ということで数名のスタッフであれこれ話ながらやってます。 まず、はてなの認証APIを使って何ができるといいのかというところですが、はてなラボをオープンしたときにいただいた意見などを見ると、「はてなのAPIで認証付きのをセキュアに利用するための API」というより「サードパーティのアプリケーションではてなIDでユーザーを識別できるためのAPI」の方が求められているという風に思いました。 具体的には、新規にユーザーを識別する必要のあるアプリケーション、例えば掲示板などを作るとして、その掲示板のユーザーを一意に識別する方法としてはてなIDを使いたい、そのIDが本当にその人のものであるかどうかをはてなが保証する、その保証を問い合わせるための API ですね。その掲示板でログインして何かを書き込むと id:naoya、と表示されると。 この手の認証APIを提供しているサービ
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします - はてなの日記 - 機能変更、お知らせなど
2018年10月31日(水) をもって、はてな認証APIの提供を終了します。それに伴い、OAuthへ移行をお願いいたします いつもはてなをご利用いただきありがとうございます。 下記の告知にて予告させていただきましたが、ご利用状況を鑑み、2018年10月31日(水)をもちまして、はてな認証APIの提供を終了させていただきます。 今後、はてなグラフ、ポケットはてななど、複数のサービスの提供を終了する予定です - はてなの日記 - 機能変更、お知らせなど はてな認証APIは、はてなアカウントによるユーザー認証をサードパーティのアプリケーションでも利用できるようにする開発者向けAPIで、2006年4月24日に公開しました。 なお、代替として、はてなではOAuthサービスプロバイダの機能を提供しておりますので、こちらのへの移行をご検討ください。 http://developer.hatena.ne.
restful_authentication を題材にして routes, resource and resources のお勉強 - noplans_rubyの日記
(追記: この記事よりも、ActiveResourceとかそのルーティングとかのドキュメント - moroの日記 を読んだ方が良いと思います!) (追記その2: restful_authentication の controller_name がバグってたのが直ったようですね。デフォルトも sessions になってます。ですので、以下の記事の session_controller まわりの記事は現在では不必要になってます) 大幅に書き換えました。hatena.vim rocks. インストール % cd your_rails_project % ./script/plugin install http://svn.techno-weenie.net/projects/plugins/restful_authentication/ controller の作成 % ./script/gen
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
GitHub - markbates/goth: Package goth provides a simple, clean, and idiomatic way to write authentication packages for Go web applications.