OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
Instagram API の xAuth の許可のもらい方 | astronaughts.net
Instagram API でも xAuth が使える ども、今日1枚だけ Instagram にご飯の写真をアップした、僕です。 先日、Instagram の Chrome Extension を作りたいなーといつもの気まぐれを起こし、Chrome Extension なんて作ったことないくせに「JavaScript で動いてんだったらできるっしょー」ってことで、挑戦してみました。そこで、OAuth だとめんどくさいことがはなからわかっていたので Instagram の開発チームに xAuth を使わせてよーって懇願してみました。その時の懇願方法を紹介します。 やることはただ一つ、メールを送るのみ Instagram の API のサイトには以下のように書いてあります。 XAuth Authentication For native mobile and desktop applicat
twitterやfacebookのOAuthをつかってrails+omniauthでログイン機能を実装するメモ その2
user.rbclass User < ActiveRecord::Base has_many :authentications devise :database_authenticatable, :registerable, :recoverable, :rememberable, :trackable def password_required? false end end 今回の場合、userは一つのtwitter認証情報をもつだけなのでhas_manyはおかしいと思うかもしれないですが、今後facebookとかとも連動させたくなったときのためにこうしてます。 devise の :validatable パラメータは削除してます。 controller前回編集したAuthenticationsControllerをさらに以下のように編集します。 class Authenticatio
OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife
そういえば、GoogleのAPIもついにOAuth 2.0(たぶんDraft 10相当)への対応が行われたとかで、だいぶ浸透してきた感があるOAuth 2.0ですが、まだ仕様はFixしていません。 というか、仕様がFixしてもその単体の仕様に全ての定義が含まれるということにはなりません。 Access Tokenの形式(Access Token Type)はOAuth 2.0本体の仕様ではなく別の仕様になりますし、Access Tokenの取得方法であるGrant Typeについても拡張が許可されています。 今回は、新しいGrant Type仕様が提案されたというので調べてみました。 まずはブログエントリについて Independent Identity: OAuth: New Chain Grant Type "Chain"という、OAuth 2.0のgrant typeが提案されていま
Bash OAuth
Note Bash OAuth library has been move to GitHub, the links in this post are not updated, please head over to GitHub for the files. I have used a Python OAuth library for a few of my scripts. Some of my scripts are Bash scripts, I didnt want to rewrite them using Python. A little wild idea came up in my mind, I decided to use Bash to write a library and make those Bash scripts work with that librar
認可のためのプロトコルのOAuthが認証に使えることの説明
最近、「Facebookのことが分からないので教えてください」とよく頼まれます。ごめんなさい、嘘を言いました。よく、は頼まれません。よくある、とか、しばしばある、は実体以上に良く見せようとする時に使う常套句です。気をつけて使おうと思います。 それはともかくとして。 Facebookは確かに難しいです。REST API(名前がRESTですがまったくRESTfulではないWeb API)からGraph APIへの変遷、FBMLからXFBML(参照)への変遷、そしてXFBMLの存在を隠蔽するプラグインへの変遷、更に今をときめくLikeボタンからDislikeボタン()への変遷、など諸々まとめて、「Facebook vs. OpenSocial」のお題で社内勉強会をしようと思っています。 しかし内容が多すぎるので、これらの技術の中で基盤となるOAuth 2.0(まだドラフト段階です)を取り出して、
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
Twitter User Streams APIを使ってみる
やってみようやってみよう思いながらずっとやっていなかったTwitterのUser Streams APIを使ってみました。こうやってまたRuby熱が再燃してるのは札幌Ruby会議03に参加したおかげです。やっぱりあぁいうイベントに参加するとモチベーションが高まりますねー。本来はそのモチベーションをいつも維持しなきゃいけないのかも知れないけれど、まぁ、頑張ります。 で、あちこちのWebサイトを参考にしながら作ったのが以下。多分Tweet以外のイベントも取得出来ると思うんだけど、ソレは次回の課題として、とりあえずFriends_timelineのTweetを取得して流しっぱなしにします。 タイムラインを流し読みするのは楽しいのですねぇ。特定のキーワードだけ色変えたり太字にして表示とか出来ると面白そうだな。このAPIを使った次のステップも考えてみようと思います。 #!/usr/bin/ruby
OAuth 2.0 — OAuth
OAuth 2.0 OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, mobile phones, and living room devices. This specification and its extensions are being developed within the IETF OAuth Working Group. OAuth 2.1 is an in-progress effort to consolidate OAut
認証と認可 — サイボウズ Live・API ドキュメント
認証と認可¶ ユーザーの認証はサイボウズ Live のアカウントのみ有効です。OpenID のようなサードパーティのアカウントで認証することはできません。 認可には OAuth を使います。OAuth については RFC 5849 を確認してください。 必要に応じて コミュニティの仕様 も確認してください。 インストールして利用する種類のクライアントアプリケーションでは、認可に xAuth も使えます。 この文書では次の三つの用語を確認してください。 サービスプロバイダー : サイボウズ Live のことです。認可のステップにおいて次の三つのエンドポイントを提供します。 https://api.cybozulive.com/oauth/initiate : 一時トークンを取得するためのエンドポイントです。 https://api.cybozulive.com/oauth/authorize
Ruby で User Streams の OAuth + https 対応
そろそろ User Streams の Basic 認証打ち切ったり https 限定にしたりするぞとかいうアナウンスが出てたりしていて、じゃあ OAuth に移行するかということで今更やってみた。 EventMachine だとか gem のアレとかアレとかあるのだけれど、なんか EventMachine でやったら数分でエラーも吐かずに流れなくなったり、その他の使える雰囲気を醸し出していた gem 達もうまく起動しなかったので、自分の解決策を書いておく。あと mongodb にそのまま入れるからjson そのまま欲しいというのもある。 まずこれの each_line メソッドを、User Streams を利用するコードに追加しておく。これはBasic認証の頃からのコード使い回し。 あと OAuth gem は入れておく。sudo gem install oauth とかそんな感じで。
RFC 5849: The OAuth 1.0 Protocol
Internet Engineering Task Force (IETF) E. Hammer-Lahav, Ed. Request for Comments: 5849 April 2010 Category: Informational ISSN: 2070-1721 The OAuth 1.0 Protocol Abstract OAuth provides a method for clients to access server resources on behalf of a resource owner (such as a different client or an end- user). It also provides a process for end-users to authorize third- party access to their server r
kur.jp - PHPでTwitterのOAuth認証
今年の一月に、LogTwitと言うTwitterネイティブWebアクセス解析LogTwitをリリースしたのですが、1月の時点では何も考えずにBasic認証を使っていました。(リリース時のブログエントリ) ところが8月末からBasic認証が使えなくなってしまうということなので、現在、twitteroauthというライブラリを使いOAuth認証に対応させる作業をしています。ちなみに、利用したtwitteroauthのバージョンは0.0.2-beta3でした。 今回、私がアプリでやりたいこととしては「ユーザ登録してくれたユーザのアカウントでポストする」ということ。そのためにはまず、下記の事が必要になります。 OAuthでユーザに承認してもらう TwitterにPOSTする OAuthでユーザに承認してもらう まず、ユーザに承認してもらうためのURLを作成します。 require_once("tw
OAuthコンシューマの仕組みと実装 〜 Ruby編 - しばそんノート
前置き 前回の記事でOAuthを使ってTwitter APIにアクセスすることができるようになりましたが、ruby-oauthは内部でNet::HTTPを呼び出しているため、そのままではGoogle App Engine for Java上のJRuby(以下JRuby for GAE/J)で利用できません。 「JRuby for GAE/JでもNet::HTTPが使えるようになる」というrb-gae-supportと組み合わせればOKなのかもしれませんが*1、OAuthの仕様自体はシンプルなものですし、せっかくなので勉強がてら自分で実装してみることにします。 車輪の再発明おいしいです!*2 ちなみにタイトルにRuby編と付いていますが、他の言語編を作成する予定は特にありません。 OAuthの仕様 実装の前にOAuthの仕様や、そもそもの成り立ちについて調べました。既にわかりやすいまとめ記事
OAuth.jp
いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。 細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を
Ruby で高速に OAuth で認証して アクセス する方法 - Candy
結論から言うと、強力な CPU と大容量のメモリを用意して Thread を大量に作るのが一番速い。 ださいことこの上無いが、これが速いんだから仕方ない。 def self.post tokens = [] User.all.each do |u| tokens << OAuth::AccessToken.new(consumer, u.token, u.secret_token) end tokens.each do |a| @t = Thread.start do res = a.post('/statuses/update.json', {:status => "なるほど四時じゃねーの"}) rescue nil end end @t.join end こんなの。本当にださいのだけど、これで十分なのだからしょうがない。というか Ruby でやる限りこれが一番速い。うちのそれなりのサー
Twitter ボットのエンハンス - P A R A G R A P H S
複数の Twitter ボット (@housai, @domoraen, @aa_canvas) を作って運用しているんだけど、ソースが汚くて修正しづらい上に、OAuth 対応してなかったり、domoraen に関しては同じリプライに何度も反応してしまうバグがあったり、色々ダメな感じだったので色々エンハンスしました。 エンハンス項目 ソースをきれいにする Twitter へ認証情報を送ってポストしたりリプライしたりする部分と、ボットが考えて発言や返事を作ったりする部分が密に結合していて気持ち悪いので、疎結合にして修正しやすくする OAuth 対応 6 月で Twitter API への Basic 認証経由でのアクセスができなくなる (?) らしいので、Basic 認証にしか対応していない Twitter4R に依存するのをやめて OAuth に対応させる domoraen のバグ修正 リ
TwitterのOAuth認証を使ったサービスを開発する際の注意 - Sacrificed & Exploited
「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
pshared.net
GitHub - moomerman/twitter_oauth: 🚫 DEPRECATED - Use https://github.com/sferik/twitter
