OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
はじめに この文書では、OAuth 2.0 + OpenID Connect サーバーをゼロから一人で実装した開発者(私)が、得られた知見について書いていきます。基本的には「実装時に考慮すべき点」を延々と述べることになります。 そのため、この文書は、「素早く OAuth 2.0 + OpenID Connect サーバーを立てる方法」を探している方が読む類のものではありません。そのような情報をお求めの方は、「Authlete を使って超高速で OAuth 2.0 & Web API サーバーを立てる」を参照してください。そちらには、「何もない状態から認可サーバーとリソースサーバーを立て、アクセストークンの発行を受けて Web API をたたいて結果を得る」という作業を、所要時間 5 ~ 10 分でおこなう方法が紹介されています。 文書のバイアスについて 私は、OAuth 2.0 + Ope
Modernizing OAuth interactions in Native Apps for Better Usability and Security
Modernizing OAuth interactions in Native Apps for Better Usability and Security Share Facebook Twitter LinkedIn Mail Posted by William Denniss, Product Manager, Identity and Authentication The Identity team is constantly striving to help Google users sign-in to third-party applications with their Google account in a secure and seamless way, and enable users to share select information from their a
事務局ブログ:「Covert Redirect」についての John Bradley 氏の解説(追記あり)
追記 (5/7 20:30): 本文中に「まともなブラウザーであれば、そのフラグメントを URI の一部にするようなことはないから、オープン・リダイレクターには送られない。」とありますが、少なくとも Chrome と Firefox はリダイレクト時に URI フラグメントをそのまま保つ (i.e. 不十分な redirect_uri チェック & オープン・リダイレクター & インプリシット・フローの場合、アクセス・トークン入りの URI フラグメントを、ブラウザーがそのままリダイレクト先へのリクエストに用いる) とのことです。続報があり次第追記します。 追記2 (5/7 23:50): John Bradley 氏自身によるフォローアップを訳しました。 Covert Redirect and its real impact on OAuth and OpenID Connect を、と
OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog
こんにちは. 研究開発グループ ritouです. だいぶ前の記事で紹介したとおり, mixi Platformは様々なユーザーデータをAPIとして提供するにあたり, リソースアクセスの標準化仕様であるOAuth 2.0をサポートしています. mixi PlatformがOAuth 2.0の最新仕様に対応しました | mixi Engineers' Blog mixi Platformをさらに安全にご利用いただくため, OAuth 2.0におけるCSRF対策を目的とした拡張仕様を検討, 導入しましたので紹介します. OAuth 2.0の認可フローとCSRF エンジニアの方であれば, Webサービスに対するCSRF(Cross-site Request Forgery)をご存知でしょう. CSRF攻撃とは悪意のある外部サービスへのアクセスや特定のURLへの誘導などをきっかけとしてユーザーの意図
The OAuth 2.0 Authorization Framework
Abstract OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には, リソースオーナーとHTTPサービスの間で同意のためのインタラクションを伴う場合もあるが, サードパーティーアプリケーション自身が自らの権限においてアクセスを許可する場合もある. 本仕様書はRFC 5849に記載されているOAuth 1.0 プロトコルを廃止し, その代替となるものである. Status of This Memo This is an Internet Standards Track document. This document is a product of the Internet Engineering Task Force (IETF). It re
mixi PlatformがOAuth 2.0の最新仕様に対応しました - mixi engineer blog
はじめまして、研究開発グループのritouです。 人々が7インチタブレットの話題で盛り上がっていた10月24日、mixi PlatformはOAuth 2.0の最新仕様のサポートを開始しました。 OAuth2.0 RFC6749へ対応しました << mixi Developer Center (ミクシィ デベロッパーセンター) その内容について紹介します。 mixi Graph APIとOAuth 2.0の進化 Webアプリ、モバイルアプリなどがmixi Graph APIを用いてユーザーデータにアクセスする際、ユーザーから許可を得る必要があります。mixiアプリやmixiページアプリからもmixi Graph APIを利用できます。認証認可と呼ばれるこの機能の実装について、今まではOAuth 2.0 draft v.10をサポートしてきました。 OAuth 2.0の仕様策定の中で、201
OAuth 2.0をはじめよう
本書は、Webアプリケーションのためのユーザー認証プロトコルであるOAuth 2.0の概要を紹介する書籍です。基礎となるOAuth誕生の背景や用語の解説から、 サーバサイドWebアプリケーションフロー、クライアントサイドWebアプリケーションフロー、リソース所有者パスワードクレデンシャルフロー、クライアントクレデンシャルフローなどの各認証フロー、またモバイルアプリケーションからユーザデータへのアクセスや、次世代の認可・認証技術OpenID Connect認証に関する内容を概説しています(OpenID ConnectについてはOpenID Connect Basic Client Profile 1.0 - draft 15に基づいています)。なお本書はEbookのみの販売となります。 はじめに 本書の表記規約について サンプルコードの利用について お問合せ先 謝辞 1章 はじめに OAut
OAuth 2.0 Authorization | Google Talk for Developers
We announced a new communications product, Hangouts, in May 2013. Hangouts will replace Google Talk and does not support XMPP. This document describes the XMPP extension used by Google Talk to allow users to log in using OAuth 2.0 credentials. Note: This extension is not intended to become a standard and is subject to change. Table of Contents Introduction Token Generation Connecting to the Google
WSGI Middleware for OAuth authentication
I have build a very small web application using Flask. Now I would like to add very basic authentication to the site (I don't need authorization). As Flask does not support auth&auth out of the box, I'd like to plug in a WSGI middleware doing this job. The web-app is only used by roughly 10 people, all of them are on Facebook. So I'd like to use Facebook's OAuth interface. I've quickly looked thro
ユーザーによるOAuthのScope選択について - r-weblife
こんにちは、ritouです。 急に寒くなってきましたが、いかがお過ごしでしょうか? 最近、Android Appのインストール時のPermissionが話題になったりしてます。 その話になると、OAuthの同意画面も同じじゃないかとかも言われます。 OAuthにおける同意内容というのは「Clientがあなたの○○にアクセスする権限を要求しています」というものですが、これは主にscopeパラメータで管理されています。 書いた後で気づいていたのですが、以前もこのあたりの話についてエントリを書いたことがありました。 OAuthのScopeはどうあるべきか? - r-weblife 今回は今一度、「OAuthのScopeをユーザーが選択するようにしたらどうなるのか」について考えたことを書いておきます。 実際のAuthZ ServerはScopeについてどう実装しているの? Facebook, Go
Facebook Releases OAuth 2.0-Ready JavaScript SDK, Extends Migration Deadline to October 1st
Facebook Releases OAuth 2.0-Ready JavaScript SDK, Extends Migration Deadline to October 1st Today, Facebook announced the release of the new OAuth2.0-ready version of its JavaScript SDK. This will allow developers to create applications that securely pass User IDs and access tokens. Facebook has pushed back the deadline by which all developers must use the OAuth 2.0 standard from September 1st to
OAuth 2.0を使うソーシャルなAndroidアプリの作り方 (1/3) - @IT
ネイティブアプリで実践! mixi Graph API活用法 OAuth 2.0を使う ソーシャルなAndroidアプリの作り方 株式会社ミクシィ システム本部 技術部 たんぽぽグループ 藤崎 友樹 プラットフォームサービス開発部 鶴原 翔夢 2011/3/30 最近よく耳にする「OAuth」とは、mixi、Facebook、Twitterなどの外部サービスと自アプリケーションを連携するための技術です。 「クラウド」「ソーシャル」というキーワードが叫ばれている昨今では、こういった連携をいかにうまく行うかということがユーザー体験を向上させる鍵となります。 特に「ソーシャル」を取り入れることは以下のような点でメリットがあると考えられます。 ユーザーのソーシャルグラフを活用して、アプリをバイラル・マーケティングできる 現実の人間関係をベースにしたユーザー体験(UX)を提供し、継続的にアプリを使っ
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
Introduction of OAuth 2.0 vol.1
Draft Specを読んで�OAuth 2.0を理解する�その1 (注意!)この内容は古いので、参考になりませんよ。。。Read less
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
OAuth 2.0の概要 - r-weblife
Eran がエントリ書いてました。 http://hueniverse.com/2010/05/introducing-oauth-2-0/ 今回の内容は翻訳ではありません。 読みながら感じたことを書き連ねたものです。 ■ なぜ新しいバージョンを考え始めたのか?OAuth 1.0aの課題 Eranは3つのポイントを挙げています。 Authentication and Signatures OAuthの実装にわずかでも関わった開発者が感じるのは、署名が面倒だということではないでしょうか? twitterでBasic認証からOAuth/xAuthへの移行に苦労されている開発者の方もいると思いますが、やっぱり工数かかりますよね。 (まぁ、それでも独自でSP達が全部考えた仕様にかなり作りこんで対応するよりは、まだましかとおもいますけど?) これを、HTTPSを使ってSecretそのままでとことん簡
Facebookログイン - ドキュメンテーション - Meta for Developers
欧州地域でのソーシャルプラグインに対する変更欧州地域でFacebook製品を使用しているユーザーに関しては、Cookie同意プロンプトが更新されたため、ソーシャルプラグインに何らかの影響が現れる可能性があります。欧州地域のユーザーは、1)Facebookアカウントにログインしている、2) 「アプリとウェブサイトのCookie管理」に同意している、のいずれかの条件を満たさない限り、「いいね!」と「コメント」のソーシャルプラグインのサポートを終了します。この二つの要件が満たされていれば、ユーザーは「いいね」や「コメント」ボタンなどのプラグインを見たり、操作したりすることができます。上記のいずれかの条件を満たさない場合、ユーザーはプラグインを見ることができません。 欧州地域には、以下の国が含まれます。 欧州連合 (EU): オーストリア、ベルギー、ブルガリア、クロアチア、キプロス共和国、チェコ共
Gmail™×mixi連携スタート!の件について - mixi engineer blog
(いわゆる宣伝エントリーなので余裕のある方はお読みください) お世話になっております。ソーシャルグラフ開発チーム asannou です。 「Gmailとmixiがつながりました」ということで、Gmail™のアドレス帳(連絡先)からマイミクシィを追加したり、友人をmixiに招待したりできるようになりました。以前から、メールアドレスでマイミク登録という機能がありますが、ここにアドレス帳のメールアドレスを一個ずつコピペするかわりに、まとめてインポートしてサクサクとマイミク申請&招待できるようになるイメージですね。 今回は技術的な部分のご紹介をさせていただきたいと思います。 アクセス権限を委譲する 本機能では、Gmail™のアドレス帳をインポートする際に、OAuthという仕組みを利用してアクセスをおこなっているので、mixiに、Googleアカウントのユーザー名とパスワードを入力する必要がなく、G
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
doityourselfandroid.com
mixi、Gmailのアドレス帳をインポート可能に
