OAuth 2.0 for Native Apps
OAuth Working Group W. Denniss Internet-Draft Google Intended status: Best Current Practice J. Bradley Expires: September 21, 2016 Ping Identity March 20, 2016 OAuth 2.0 for Native Apps draft-ietf-oauth-native-apps-01 Abstract OAuth 2.0 authorization requests from native apps should only be made through external user-agents such as the system browser (including via an in-app browser tab). This spe
ClientLogin、OAuth 1.0 (3LO)、AuthSub、OpenID 2.0 サービス終了のお知らせ
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #DevFest21 1 #DevFest22 1 #DevFest23 1 #hack4jp 3 11 weeks of Android 2 A MESSAGE FROM OUR CEO 1 A/B Testing 1 A4A 4 Accelerator 6 Accessibility 1 accuracy 1 Actions on Google 16 Activation Atlas 1 address validation API 1 Addy Osmani 1 ADK 2 AdMob 32 Ads
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。 久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。 ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。 出てくる用語や仕様は、下記の翻訳リンクを参照してください。 The OAuth 2.0 Authorization Framework JSON Web Signature (JWS) 想定する環境 わりとよくある環境を想定しています。 OAuth 2.0で認可サーバーとリソースサーバーがある 認可サーバーがAccess Tokenを発行 リソースサーバーがAPIリクエストに含まれるAccess Tokenを検証する よくある実装とその悩みどころを、JSON Web Token(JSON Web Signature)により軽減できるかもという話です。 よくある実装 : Access Tokenに一見ラ
OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp
昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでください。 で、今回の内容は「code が漏れたら何がまずいのか」についてです。 「code は漏れても大丈夫」説 「Covert Redirect」についての John Bradley 氏の解説(追記あり)にも、こうありましたね。 OAuth と OpenID Connect には複数の response_type があるんだけど、さきのリポートの著者は、最も一般的な response_type が
The OAuth 2.0 Authorization Framework
Abstract OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には, リソースオーナーとHTTPサービスの間で同意のためのインタラクションを伴う場合もあるが, サードパーティーアプリケーション自身が自らの権限においてアクセスを許可する場合もある. 本仕様書はRFC 5849に記載されているOAuth 1.0 プロトコルを廃止し, その代替となるものである. Status of This Memo This is an Internet Standards Track document. This document is a product of the Internet Engineering Task Force (IETF). It re
Yahoo! JAPANのOAuth 2.0&OpenID Connect実装を試してみた! - r-weblife
こんばんは、ritouです。 今回のY!Jの新機能は気のせいじゃなさそうだ! ということで、今回のエントリは長いので気をつけてください。 何が起こった ここにいろいろ書いてあります。 http://developer.yahoo.co.jp/yconnect/ 名称はYConnect OAuth 2.0の仕様に準拠した OpenID Connectもサポート "準拠"と"サポート"の使い分けが気になりますがまぁ進めましょう。 OAuth 2.0 OAuth 2.0準拠といえばmixiですね。 YConnectでは2種類のClientからの利用を想定しています。 サーバーサイド クライアントサイド それぞれConfidential/PublicなClientのことですね。 早速登録してみました。 誰かも言ってましたが、redirect_uriの設定はいったん登録した後に編集しないといけないと
OAuth 2.0 Authorization | Google Talk for Developers
We announced a new communications product, Hangouts, in May 2013. Hangouts will replace Google Talk and does not support XMPP. This document describes the XMPP extension used by Google Talk to allow users to log in using OAuth 2.0 credentials. Note: This extension is not intended to become a standard and is subject to change. Table of Contents Introduction Token Generation Connecting to the Google
自社サービスの機能を簡単にAPIで提供出来てしまう!gem doorkeeperが凄い。 - @camelmasaの開発日記
自社サービスにAPIを実装する事ってあまりないですよね。 kamadoのプロダクトも現在はAPIは公開してません。 もし提供するのであれば、簡易的な方法ですが、ユーザーテーブルにtokenカラムを追加して、API用のルーティングを作成する…という方法が考えられると思います。 しかし、その実装時間でより良いAPIが実装出来るとしたら素晴らしいですよね。 そこで紹介したいのがgem doorkeeperです。 日本語の記事が見当たらなかったので記事にしました。 github https://github.com/applicake/doorkeeper gem doorkeeperってどんな機能があるのか? 簡単に説明すると、 ・アプリケーションの管理機能 ・アプリケーションの承認管理 ・スコープの設定 いってしまえば、Facebook API(に近い実装)そのまま実装出来ます。 しかもOAu
スマートフォン ネイティブアプリからの OAuth 認証についての悩み - Qiita
iOSアプリを開発していて、FacebookなどのOAuthを利用しつつ、自社のweb apiにアクセスする際の認証・認可の方法を考えています。 具体的にはpinterestはfoursquareなどと同様の仕組みです。 解決策 数人で考えてみました。 1. 自社の web api 認証にOAuth providerのuid, tokenを使いまわす (その場に居た人が大きな声では言えないが、こうしていると言ってていて「それやばいっしょ」って話になったのであえて解決策の1に挙げてますがダメなやつ) 自社の web api でユーザーのヒモ付をOAuth providerのuid, 初回に発行されたtokenで行う token はしっかり守っていないといけないのでは? 本来、OAuth provider 認可に利用するtokenを自分のweb api認証・認可に使いまわすのはだめじゃない?
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
bit.ly の OAuth 2.0 とか色々試してみたら色々アレだった : にぽたん研究所
ある日、うちのサービスで bit.ly 使って URL を短縮したいねーなんて話があがって、まぁ、単純に短縮化するなら、@shiba_yu36 さん作の WebService::Bitly なんか使えば簡単に色々出来て便利だなーって思いました。 で、きっと、このモジュールを使っているであろうはてなダイアリーとか見てみたら、bit.ly の設定画面があるんですね。 自分自身の bit.ly アカウントを使えば bit.ly でトラッキングとか出来るし便利だなーと思いました。 …でもね、うちのサービスの利用者の方々は、はてな民のようなリテラシーの高いユーザばかりではないのですよ。 「bit.ly の API キー」とか言っても「は?????」って感じの方が大多数。 意味わからないものを設定画面につけるとなっちゃん宛にクレームがいっぱい来てしまいます。 とりあえず、bitly API Docum
OAuth 2.0を使うソーシャルなAndroidアプリの作り方 (1/3) - @IT
ネイティブアプリで実践! mixi Graph API活用法 OAuth 2.0を使う ソーシャルなAndroidアプリの作り方 株式会社ミクシィ システム本部 技術部 たんぽぽグループ 藤崎 友樹 プラットフォームサービス開発部 鶴原 翔夢 2011/3/30 最近よく耳にする「OAuth」とは、mixi、Facebook、Twitterなどの外部サービスと自アプリケーションを連携するための技術です。 「クラウド」「ソーシャル」というキーワードが叫ばれている昨今では、こういった連携をいかにうまく行うかということがユーザー体験を向上させる鍵となります。 特に「ソーシャル」を取り入れることは以下のような点でメリットがあると考えられます。 ユーザーのソーシャルグラフを活用して、アプリをバイラル・マーケティングできる 現実の人間関係をベースにしたユーザー体験(UX)を提供し、継続的にアプリを使っ
Using OAuth 2.0 to Access Google APIs - Authentication and Authorization for Google APIs - Google Code
Using OAuth 2.0 to Access Google APIs (Experimental) Caution: Google's OAuth 2.0 support is in an early preview and may change at any time, or as the final specifications evolve. Google supports a recent draft of the OAuth 2.0 protocol with bearer tokens for authorizing access to private user data. The spec is close to settling down, and we intend to update our code to match the final OAuth 2.0 an
Making auth easier: OAuth 2.0 for Google APIs
One of the most exciting things about the architecture of the web is how easily it supports mashups—URLs, IFRAMEs, XHR, and more make it easy to build great new services on top of building blocks from others. As more and more people use the web for non-public data, we need new techniques to secure those building blocks. That’s where OAuth comes in—an open, standard way for users to grant permissio
OAuth Sign-in Controllers for iOS and Mac OS X Applications
By Greg Robbins, Software Engineer (Editor's note: Long-time readers know we sometimes publish posts aimed at programmers, and this is one of those. If you're not a software developer, don't worry. Our usual non-technical stuff will return.) It’s rare today for any software to live in isolation. And often, applications want to connect to data in your Google Account. Social networks seek access to
mixi Graph APIが一般開発者に解放されたというので、早速試してみた! - r-weblife
ついに一般開発者にも公開ですね。 本日より、個人の方でもクレジットカード登録をすることでmixi Graph APIをご利用いただくことが可能になりました。 http://developer.mixi.co.jp/news/news_platform/12028 まずは、ガイドラインを読みましょう。 大事なことです。 デベロッパー登録の方法は省略して、アプリケーションの登録を行います。 忘れやすいので、「Developer Dashboard」のURLを残しておきましょう。 https://sap.mixi.jp/home.pl mixi Graph APIを使うサービスの登録 ここで必要なものは以下の通り。 サービス名 ロゴ サービス説明 サービスURL リダイレクトURL お問い合わせ用メールアドレス 利用規約への同意 登録done. それでは、デモサービスを作って動かしてみましょう。
はてなのAPIがOAuth対応したというので、早速試してみた! - r-weblife
はてなのAPIがOAuthに対応したらしいです。 このブログでもお世話になっているはてなさんなので、チェックしてみましょう。 ドキュメントはこちら。 http://developer.hatena.ne.jp/ja/documents/auth/apis/oauth まずは、ConsumerKeyの登録です。 その1.ConsumerKeyの登録 「OAuth 開発者向け設定ページ」はこちら。 http://www.hatena.ne.jp/oauth/develop こんな画面になります。 ボタンを押して続けましょう。 新規登録画面ていうよりか、一瞬でもうアプリケーションが登録済になっていてその編集画面っぽいのに移りました。 ちょ、デフォルト値としてアプリケーション名が"ritou"、アプリケーションURLが"http://www.hatena.ne.jp/ritou/" って入ってます
OAuth | Hatena Developer Center
はてなサービスにおける OAuth はてなでは、さまざまな API で OAuth に対応しています。 OAuth を使うと、認証したはてなユーザーの権限で、データの読み書きなど各種操作を行えます。 Consumer key を取得して OAuth 開発をはじめよう OAuth consumer key を取得し、はてなの OAuth 対応 API を利用するための手順を説明しています。 scope (許可操作) 一覧 OAuth 対応 API を利用するために必要な権限を表す scope について説明しています。 はてなの OAuth アプリケーション用 API はてなの OAuth 対応 API を利用したアプリケーションで共通してご利用いただける API について説明しています。 OAuth 対応 API 一覧 はてなが提供する OAuth 対応 API の一覧です。 認証時
OAuth 2.0 Draft 11の差分調査done - r-weblife
この前Draft 10の日本語訳が発表されたと思ったら、Draftが更新されて11になりました。 draft-ietf-oauth-v2-11 - The OAuth 2.0 Authorization Framework 3行でいうと Access Tokenを返すタイミングでtoken_typeパラメータが追加されたけど、中身はTBD ClientID/Secret以外でClientを特定するあたりの説明が追加された WWW-Authenticate Response Headerが少し変わった って感じです。これだけで満足した人は帰って良し! ゆっくり見たい人は続きをどうぞ。 差分チェック Diffを見ましょう。 Diff: draft-ietf-oauth-v2-10.txt - draft-ietf-oauth-v2-11.txt んー、とりあえずDocument History
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
AppAuth for Android by openid