WEBサイト間のシステム連携をOAuth認証で保護する | LaravelアプリでのOAuthサーバの組み込み方法 | ALTUS-FIVE
WEBサイト間でシステム連携を、WEB APIで実現する場合、第三者に勝手に利用されないように保護したい場合があると思います。 対応策として、ネットワーク構成で防御する方法が真っ先に思い浮かびます。例えば、IPアドレスで制限する方法などです。その方法がとれるなら、簡単なので、そちらの方がよいでしょう。 この記事では、インフラ構成はそのままで、OAuth認証を使って安全に連携する方法をについて説明します。 Laravel5.3以降の場合は、laravel/passportが、公式パッケージとなったので、そちらを使ってください。 Laravel5.2以前は、プラグイン lucadegasperi/oauth2-server-laravel を使います。 どちらも、 league/oauth2-server が使われているので、内部は同じものです。 さて、laravel/passport につい
OAuth 2.0 の仕組みと認証方法
OAuth 2.0 の仕組みと認証方法について説明します。OAuth 1.0 の認証フローとそれらの問題点から、OAuth 2.0 の認証フロー、認可コード、アクセストークン、リフレッシュトークンまで網羅します。
Laravel : API認証(Passport)機能の動作確認 | DN-Web64
Laravel Passportを利用したAPI認証の動作確認をします。 Passportはthephpleague/oauth2-serverをLaravelで扱いやすいようにラップしてくれたパッケージです。 事前知識(OAuth 2.0) RFC 6749 The OAuth 2.0 Authorization Framework (英語) https://tools.ietf.org/html/rfc6749 (日本語) https://openid-foundation-japan.github.io/rfc6749.ja.html RFC 6750 The OAuth 2.0 Authorization Framework: Bearer Token Usage (英語) https://tools.ietf.org/html/rfc6750 (日本語) http://openi
Web サービスにパスワードは必要ない - Frasco
Web サイトを開発する際のアーキテクチャ設計において、ユーザーの認証にはメールとパスワードを利用するのが一般的でしょう。この設計は身に染み付いていて、なぜユーザーにパスワードを作成させるのか、考えもしないかもしれません。私たちは慣れてしまったのです。 しかし、ユーザーはパスワードを必要としない可能性があります。 一つの解決策は OAuth 2.0 ですが、すべてのユーザーがSNSのアカウントを持っているわけでもなく、あなたのサイトでそのアカウントを使用したいと考えているとも限りません。 では、あなたはどのようにしてパスワードを使わずユーザーを認証しますか?その回答はこの記事を読めばわかります。 何が問題か? 最も安全なパスワードは、あなたが覚えられないパスワードです Troy Hunt そもそもパスワードそれ自体に問題があります。あなたや、あなたのユーザーにとっても良いものではありません
OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ
OpenID Connect概要 OpenID Connectをひと言で説明すると、 OAuth 2.0 + Identity Layer = OpenID Connect という表現が最もふさわしい。 OpenID Connectは、「OAuth 2.0を使ってID連携をする際に、OAuth 2.0では標準化されていない機能で、かつID連携には共通して必要となる機能を標準化した」OAuth 2.0の拡張仕様の一つである。 OpenID Connect登場以前は、OAuth 1.0/2.0ベースのID連携の仕組みがTwitterやFacebookなどの巨大SNSから提供され、人気を博した。これらの仕組みは今でも広く利用されている。 一方で、OpenID Connectの1つ前のバージョンのOpenID 2.0では、ID情報の連携はできるもののAPI連携には利用できないなど、デベロッパーに強
一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
基礎からの OAuth 2.0 - Developers.IO 2017 (2017-07-01)
システム開発をする以上、ほとんどの場合「認証と認可」は切っても切れない問題です。マイクロサービスが話題を集め、コンポーネントのWeb API化が急加速を見せる昨今。OAuth 2.0 という仕組みが継続的に注目を集めています。 しかし、いざその仕様を紐解いてみると Authorization code や Implicit 等、簡単には理解できない概念や選択肢が並んでおり、 自分が導入すべきなのはどのような仕組みなのか、判断が難しいのも確かです。 本セッションでは OAuth 2.0 の仕組みを基礎から解説し、今あなたに必要な認証と認可の仕組みを判断できるような知識をお伝えします。 https://www.youtube.com/watch?v=PqW948SFSUM
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
OAuth 2.0の概要とセキュリティ
OAuth 2.0の概要とセキュリティについて。 個人的に勉強した内容をまとめたものですが、これをベースに会社の勉強会も開催したり。Read less
【決定版】Twitter APIにも使われるOAuth認証のしくみ
Twitter用の自作BotをPHPで作る際に勉強したんですが、なかなか複雑で理解するのに時間がかかってしまいました。 理解度を確認する意味でも、自作のWebアプリにユーザーのTwitterアカウントを紐付けてTwitter APIを利用するシーンを想定して解説してみようと思います。 「アクセス・トークン(Access Token)」をTwitterから得るのが目標です OAuthによる認証がうまくいくと、Twitterのような既存のサービスで管理されているユーザーアカウントを自分のWebアプリ上とも共有できるようになります。 そのためには、ユーザーごとに「アクセス・トークン(Access Token)」というものをユーザー情報管理サービス側(今回の場合はTwitter)から発行してもらう必要があります。 アクセス・トークンとは何ぞ? アクセス・トークンというのは、Twitterへツイート
TwitterのOAuth脆弱性
TwitterのOAuth脆弱性 Presentation Transcript TwitterのOAuth脆弱性 2013-03-01 Xtone Ltd. ピザ会 Aki / @nekoruri なにがおきたの?( ^o^) なんか友達からURL送られてきたお なにがおきたの?( ˘⊖˘) 。o(ID/Pass入力しなきゃ安全だよな……) なにがおきたの?|URL| ┗(☋` )┓三 なにがおきたの?( ◠‿◠ )☛ アクセストークンは頂いた、抵抗は無意味だ なにがおきたの?▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわあああああああ なにがおきたの?( ^o^)なんか友達からURL送られてきたお( ˘⊖˘) 。O(ID/Pass入力しなきゃ安全だよな……)|URL| ┗(☋` )┓三( ◠‿◠ )☛アクセストークンは頂いた、抵抗は無意味だ▂▅▇█▓▒░(’ω’)░▒▓█▇▅▂うわああああ
LWPでOauthクリア。とりあえずTwitterのタイムライン取得。 - Qiita
Net::Twitter なんかのモジュールがあれば、簡単にOAuth認証ができてるんだけど、レンタルサーバレベルでは基本入ってないので、LWPで認証をクリアしちゃいましょう。サンプルで、jsonで取得した内容を表示しています。 (アプリ登録は事前に済ましてね) use LWP::UserAgent; use HTTP::Request::Common qw(GET); my $Auth = qq|OAuth oauth_consumer_key="******", oauth_nonce="******", oauth_signature="******", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1372223529", oauth_token="******", oauth_version="1.0"|; my $ua
TwitterによるログインとWebアプリケーションを作るサンプル (Perl/CGI編)
更新日:2013/01/02 概要 PerlのCGIでNet::Twitterモジュールを利用し、Twitterアカウントによるログイン実装、Webアプリケーションを作るための入門手引き。初心者向け(たぶん)。 OAuthのことがいつも分からなくなるので、半分は自分用メモです。はてなダイアリーに書いたボット作成メモから、つらつら加筆修正しました(PerlでTwitterアプリ開発の導入メモ - Net::Twitter)。 環境 さくらのレンタルサーバにて、以下の環境で作ってみた。 Perl 5.8 モジュールとして、標準モジュール以外に Net::Twitter を利用 ログインにTwitterのOAuthを利用し、ログイン情報はセッションを利用して管理する サンプルURL等 TOPページ:http://ozuma.sakura.ne.jp/Twitter-Webapp-Sample/
#日頃の行いおみくじ 挙動の不安定さによりスパムアプリだと騒がれる事案 - Togetter
青い着ぐるみの抜け殻@ヮ<)ノ ❄️ @nazo_one 悪い言葉「ガキ」を48回ツイートしたsyo3s1さんの2013年の運勢は大凶です - 【 #日頃の行いおみくじ 】2012年のツイートを分析して2013年の運勢を表示!結果はこちら→ http://t.co/Qir3wgmb 2013-01-02 01:14:24 ちなみになぜかアクセスしづらく、しばらくすると重複したツイートが発生したのでいくつかツイートを削除したが・・・ その後、スパムではないかという噂が
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
「OAuth」の基本動作を知る
デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット
もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」:phpspot開発日誌
もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」 2012年08月13日- AuthManager - StitchApps もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」。 ユーザ認証型のサイトを1から作るとなると面倒な上に、もう誰かが良い物を作ってるんじゃないかという事を誰もが作り直してる気がします。 こういうもの自体をオープンソースにしちゃって誰もが使えるっていうのは素晴らしいですね。 Facebookによる認証やreCAPTCHAによるスパム防止、メールアドレスの認証機能といった標準で必要な機能が入っており、便利に使えそう。 で、ユーザ登録できるのはいいんだけど、肝心の制限はどうやってかけるの?というところは、次のように簡単にやってね、ということらしくお手軽。 ($sesslife自体がどこか
多彩なフレームワークに対応したPHP向け認証ライブラリ·Opauth MOONGIFT
OpauthはPHP向けの認証ライブラリです。抽象化することで多様なプロバイダーに容易に対応できます。 Webサービスで認証を用意すると言っても今は多様な技術が存在します。単なるID/パスワードに限らず、OpenIDやOAuthもあります。サービスプロバイダーごとに実装も若干変わったりします。そうした認証技術を統合して使えるのがOpauthです。 デモです。 Facebook認証です。 問題なく認証できました。各種データも取得できているのが分かります。 こちらはGoogle認証です。 こちらもユーザプロフィール含めて取得できています。 最後はTwitterです。 はい、問題ありません! OpauthはRubyの認証ライブラリOmniauthにインスパイアされて作られており、認証部分を抽象化することでプロバイダーを切り替えて容易に様々なサービスに対応できるようになっています。技術的にはOpe
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth 2.0 をかみくだく
sdn-project.net