mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife
こんばんはこんばんは!!、ritouです。 木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog とりあえず上記の記事を読んで、最後の方のシーケンス図を覚えといてください。 では動作確認を始めましょう。 手順0 : サービスを登録してclient_id, client_secretの取得 もしかして、mixi Platformの挙動だけ確かめたい人にとってはここがハードル高いのか。まぁしょうがないです。 開発者登録している人はこちらからサービスを登録できますね。 https://sap.mixi.jp/connect_consumer.pl 例として、とりあえずこんな感じで登録してみます。 client_id : 4f75
OpenID Connectで異なるドメイン間のログインセッション不整合を防ぐ方法 - r-weblife
おはようございます, ritouです. 今日はOpenID ConnectのSession Managementについてざっくり紹介します. まとめ OpenID ConnectでOP/RP間でUserAgent上のセッションが同期される(同じユーザーがログイン状態となる)タイミングはAuthorization Responseが処理された時のみ RP上で2つのiframeを表示しRP->OPへセッション確認用のpostMessageを送り続け, ユーザーがログアウトしたら”changed”を返して状態変更を把握 RPがログアウトした時にOPにリダイレクトさせる方法も定義されてる これでだいたい把握できた人は, 仕様をどうぞ. 仕様 : http://openid.net/specs/openid-connect-session-1_0.html もう少し細かく説明します. OpenID
OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife
こんばんは、ritouです. 世の中, OAuthの仕様に沿って提供されているAPIだらけです. モバイル端末で動作するアプリでも, そんなAPIを利用するものだらけです. OAuthなユーザーフロー アプリのOAuth実装となるとそれはそれはこまけぇことでいろいろあります. とりあえず, OAuthなプラットフォームを提供する側は以下のようなユーザーの動きを望んでいます. mixiと連携するボタンを押す 外部のブラウザが立ち上がる 未ログインの場合はログイン画面が表示されるが, 頑張ってHTTPS+ドメイン名とかを確認してログイン アプリによるリソースアクセスに対して同意 アプリに戻って連携完了 やや複雑なものに思えるかもしれませんが, OAuthなプラットフォームを提供している中の人たちからすると, アプリがID(Email)/PWなどを直接扱わないことで意図的な悪用, 意図しない漏え
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
