タグ

oauthに関するmoritataのブックマーク (15)

  • SAMLとOAuthとは?比較と違い、OpenID(OIDC)との関係を解説 | Okta

    Security Assertion Markup Language(SAML)は、認証プロセスです。毎朝、仕事を始める際にコンピューターにログインするときには、SAMLが使用されるケースが多いのではないでしょうか。SAMLは、XML形式のマークアップ言語の一種で、シングルサインオン(SSO)のプロトコルの一種としても使用されています。 Open Authorization(OAuth)は、認可プロセスです。新たなユーザー名とパスワードを使用せずに、あるサービスから別のサービスに移ることができます。例えばGoogleにログインし、その資格情報を使用してHootsuiteにアクセスする場合は、OAuthを使用したことになります。 どちらのアプリケーションもWebのシングルサインオン(SSO)に使用できますが、SAMLがユーザー固有になる傾向があるのに対して、OAuthはアプリケーション固有に

    SAMLとOAuthとは?比較と違い、OpenID(OIDC)との関係を解説 | Okta
  • oauth2とは何か?認証と認可の違い。

    あぁ、しくじった。毎日書こうとしたら休みの日である事を完全に忘れてゲームばかりした結果 0時を回って書いてしまっている。 しかも今回の内容が多分長くなりそうだから既に明日やる口実を作って明日作成しようとしている。 あぁ、憂だ。 そんな始まり方のoauth 最近でこそoauth認証って普及されてますけど、 最初見た時、???ってなりませんでしたか? 僕は謎過ぎて良くわからなかったから、こんなのやらないと思ってました。 が、、、今になってみるとあまりにも便利が故に もはや、Googleサインインとかappleサインインが無いと嫌ですもんね。 おいおいおい、入れておけや。と。。。 それだけ楽にしてくれた認証機能ですが、 実は、認証機能以外にも認可という部分もあるので 今日はその辺を自分の備忘録的に書いていこうと思っています。 参考にしたもの まず先に参考にした動画を貼ります。 ざっくりと簡単に

    oauth2とは何か?認証と認可の違い。
  • JWT アクセストークンからの個人情報漏洩 - Qiita

    内包型アクセストークン、典型例としては JWT アクセストークンは、関連するデータを自身の内部に持っています。下記の条件が成り立つと、論理的な帰結として、そのようなアクセストークンから直接個人情報が漏洩します。 個人情報が含まれている 暗号化されていない ステートレス 意図しない者に盗まれる ここで「ステートレス」とは、「個人情報を保存するためのデータベースレコードを認可サーバー側に持たない」ことを意味しています。 もしもアクセストークンの実装が「内包型/暗号化されていない/ステートレス」であり、また、システムがクライアントアプリケーションに個人情報を提供する必要があるなら、当該システムは、アクセストークンに情報を埋め込むことを避け、個人情報を問い合わせるための Web API を提供すべきです。 ユーザー情報エンドポイント (OIDC Core Section 5.3) はそのような A

    JWT アクセストークンからの個人情報漏洩 - Qiita
  • 30分でOpenID Connect完全に理解したと言えるようになる勉強会

    社内向け勉強会で発表した内容です。 30分でと書いてありますが、実際には50分かかりました。 また時間の関係で結構省いたりしている箇所があります。 2020/07/19追記 ご指摘をいただいた箇所を多々修正いたしました。 特にOIDCとSPAの章が初版とは大幅に変更されていますのでご注意く…

    30分でOpenID Connect完全に理解したと言えるようになる勉強会
  • OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife

    お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていてこの分野を抑えときたい ただ単純に興味がある : そんな人いる? とかそんな感じな気はしますが、基的なフローを乗り越えた先に広がる仕様沼への潜り方に戸惑っておられるようでした。 そこで、いわゆる RFC6749/6750/7636 あたりを完全に理解した開発者が山ほどある仕様にどう立ち向かっていくかを考えます。 仕様にも色々ある IETF の OAuth関連の仕様、いっぱいあります。密です。密です。みみみみみみみみ... tools.ietf.org 去年に一回まと

    OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife
  • アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita

    このツイートを見て、「アプリで再ログインを頻繁要求されるってユーザビリティ良くないな。」と思ったのですが、普段裏側の仕組みは意識していなかったりテックリードの方に任せきりだったりしていたので、これを機に調べてみました。 そもそもスマホアプリ の時代、もはやauthenticationですらないと思うのよね。(何を言ってるかわからねえだろうと思うが。) — Hiromitsu Takagi (@HiromitsuTakagi) 2019年7月8日 この記事は「アプリでログインしっぱなしは、どのように実現されるの?」という疑問と調べた結果を共有するために書いていきます。 間違いや「もっとこんな仕組みが使われてるよ!」等のツッコミがあれば、どしどし貰えると助かります! 疑問1. アクセストークンという仕組みとは? 「なぜアクセストークンという概念が必要なのか?」 モバイルアプリでユーザー認証をし

    アプリで「ログインしっぱなし」はどのように実現されているか? - Qiita
  • OAuth徹底入門 セキュアな認可システムを適用するための原則と実践 | 翔泳社

    OAuthは近年、WEBアプリケーションで使われる主要な認可プロトコルです。書ではOAuthをどのようなプラットフォームでも適用できるように解説をしています。 書は全体で16章あり、4つのパートに分割しています。パート1にあたる第1章と第2章はOAuth 2.0のプロトコルの概要を説明しており、基盤となる知識を得るための読み物としています。パート2は第3章から第6章までとなっており、OAuth 2.0のエコシステム全体をどのように構築するのかについて示しています。パート3は第7章から第10章までとなっており、OAuth 2.0のエコシステムにおけるさまざまな構成要素が持つ脆弱性について説明しており、その脆弱性をどのように回避するのかについて述べています。最後のパートは第11章から第16章までで構成されており、OAuth 2.0を核とした次の世代のプロトコルについて語っており、標準や仕様

    OAuth徹底入門 セキュアな認可システムを適用するための原則と実践 | 翔泳社
  • Facebookアプリ「HTTPS+OAuth2.0」の利用を義務付けへ

    ブログヘラルドで知りましたが、今後、Facebookアプリは「HTTPS+OAuth2.0」の利用が義務付けられることになるようです。 Facebookから開発者へ: OAuthとHTTPSを利用せよ(原文) ユーザーが楽しさと安全性と言う究極の選択を行わなければいけない状況を避けるため、フェイスブックは、HTTPSの利用に対する期限を開発者に向けて定めた(OAuth 2.0の利用も併せて)。 FacebookアプリをHTTPSでアクセスできるようにすることで、利用ユーザーはFacebookに対し、常にセキュアな接続でアクセスすることができます。 関連記事:Facebookページにアクセスして「通常の接続(http)に切り替えますか?」と表示される問題について すぐに移行が必要というわけではなく、約5ヶ月の移行期間が設定されています。詳細は次項のロードマップをご覧ください。 1.ロードマッ

    Facebookアプリ「HTTPS+OAuth2.0」の利用を義務付けへ
  • OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote

    OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて

    OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
  • WordPress と OAuth 認証を使って会員向け Web サービスを作る

    WordPress で主に Twitter の OAuth を使ったり、データベースに会員情報を持っておく方法を紹介します。すべて説明していると返って分かりにくくなりますので、ポイントを押さえて説明していきますので読んでみてください。今回メインで参考にさせて頂いた記事は以下です。 PHPTwitter APIのOAuthを使う方法まとめ – 頭ん中 WordPress のデータベースにメンバーテーブルを作成 id を WordPress 側で使い、user_id は Twitter の user_id です。user_name は Twitter での screen_name です。access_token_key と access_token_secret を保存しておけばサイト側からツイートなどを行うこともできます。 CREATE TABLE IF NOT EXISTS `wp_me

  • 第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp

    今回から始まった「ゼロから学ぶOAuth⁠」⁠。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景

    第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
  • APIアクセス権を委譲するプロトコル、OAuthを知る - @IT

    クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 OAuthプロトコルを知る OAuthを使ったWeb APIアクセス権の委譲が実際にどのように行われるかはエラン・ハマー氏のブログに詳しいが、簡単に説明すると、2つのアプリケーションをマッシュアップさせたい「ユーザー」が、リソース(例えば、アルバムサイトにある写真など)を管理するサイト「サービスプロバイダ」が提供するAPIの接続許可証「トークン」を、サービスプロバイダを通じて、リソースを利用したサービスを提供する別のサイト(例えば、写真を現像するサイト)「コンシューマ」へ発行し、IDとパスワードの代わりにトークンを渡してサービスプロバイダ上のリソースへアクセスさせる、ということになる。

  • やる夫と Python で学ぶ Twitter の OAuth - 宇宙行きたい

    OAuth 調べてみたら難しくて理解出来なかったので, Python で標準ライブラリだけで 1 から書いてみました. /      \ /  _ノ  ヽ、_  \ / o゚((●)) ((●))゚o \  twitter の OAuth 難しいお… |     (__人__)'    | \     `⌒´     / ____ /⌒  ⌒\ /( ●)  (●)\ /::::::⌒(__人__)⌒::::: \   だからやる夫でやるお! |     |r┬-|     | \      `ー'´     / Python のサンプルコードを付けていますが, 上から順に読めるようにおもいっきり手続き型で書いています. コメントで実際の処理の説明を書いています. Consumer Key と Consumer Secret の入手 / ̄ ̄\ /    u  \      .____ |:

    やる夫と Python で学ぶ Twitter の OAuth - 宇宙行きたい
  • APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT

    クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態

  • TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと

    Twitterユーザー、あるいはこのプラットフォームを利用しているデベロッパーや企業は、2010年6月30日に向けて適切な対応を図る必要がある。Twitter APIのBASIC認証が廃止されるためだ。 意外と知られていないこととして、APIの制限のほかにユーザーごとの制限があると丹羽氏。1日当たりのツイートやフォロー、ダイレクトメッセージなどに上限があるが、ダイレクトメッセージの250件/日制限に引っかかってはじめてそれに気付く企業アカウントも少なくないという 「Twitter Development Talk(Twitter-Dev)」や「Twitter API Announcements」などではかなり前からアナウンスされていたが、2010年6月30日を最後に、Twitter APIのBASIC認証はエラーが返ってくるようになる。一見地味に映るこの出来事だが、カウントダウンサイトも用

    TwitterのBASIC認証廃止、企業ユーザーが知っておくべきこと
  • 1