OAuth2.0とOpenID Connect�の概要 - Qiita
OAuth2.0やOpenID Connectなど体系だった情報や初心者でも分かりやすい記事が分散していたので、これらを整理した。 この後は、実際に手を動かしながら理解を深めていこうと思う。 ここでは全体像をはっきりとさせることが趣旨なので、詳細は該当リンクを参照してください。 認証と認可の違い 認証 通信の相手が誰であるかを確認すること 英語では、Authentication 認可 ある特定の条件に対して、リソースアクセスの権限を与えること 英語では、Authorization OAuthとは 「第三者のアプリケーションにユーザーの ID & パスワードを渡さない」ことを目的にした認可の仕組み(引用元) OAuth 2.0 とは、サービスのユーザーが、サービス上にホストされている自分のデータへのアクセスを、自分のクレデンシャルズ (ID & パスワード) を渡すことなく、第三者のアプリケ
pythonで署名付きリクエストを送る(2-legged OAuth) – taichino.com
最近、色んなサービスの認証シーンでOAuthをよく見かけます。例えばTwitterのアカウントを使って、全く別のマッシュアップサービスを使うような場合に使われていて、ユーザの予期せぬ権限委譲が話題にもなりましたね。 ところで普通OAuthと言うと、Provider(Twitter), Consumer(マッシュアップサービス), Userの3者間で認証を行うものだと思っていたのですが、実はProviderとConsumerの2者間での認証に使われる場合もあります。 前者は3-legged OAuthやOAuth Coreと、後者は2-legged OAuthとかOAuth Consumer Requestと呼ばれているようです。ここでは後者の認証をpythonでやります。 (※)以下の2-legged OAuthは署名アルゴリズムにHMAC-SHA1を使っているものとします。(他のアルゴリ
Python で OAuth/xAuth 、というか Twitter 認証: ある nakagami の日記
あとで読む(はず) OAuth プロトコルの中身をざっくり解説してみるよ http://d.hatena.ne.jp/yuroyoro/20100506/1273137673 pythonで署名付きリクエストを送る(2-legged OAuth) http://taichino.com/programming/1057 デスクトップアプリケーションでも認証可能なOAuth「xAuth」をpythonから試してみた。 http://mattn.kaoriya.net/software/lang/python/20100217004716.htm Twitterによる簡易版OAuth: "xAuth" http://s-take.blogspot.com/2010/02/twitteroauth-xauth.html コマンドラインで動作する OAuth 対応Twitter クライアントを P
GoogleがOAuth WRAPに対応(解説編) - r-weblife
OAuth-WRAP Support - Internet Identity Research Googleさんが訳す前に、簡単にまとめておきましょう。 ■ 何してくれたの? Googleは将来的にOAuth 2.0に対応するらしいです。 今回は、そのマイルストーンとして、OAuth 2.0の仕様と重なる部分が多いOAuth WRAPに対応したようです。 OAuth WRAPの仕様に従ってGoogleのAPI利用アプリを実装することで、開発者はとんでもなく難しかったOAuth 1.0系に比べてだいぶ簡単なWRAP/2.0の実装を試すことが可能です。 ■ どうやって実装すれば良いの? □ エンドポイントURL Googleが提供するのは以下のエンドポイントです。 User Authorization URL: https://www.google.com/accounts/WrapUserA
OAuth WRAP/2.0 | ゆっくりブログ
意外と知らない人が多いので書いておく。 OAuth 認証において Consumer Secret の漏洩について心配している人が多い。 Twitter API で言うところの Application Type: Client なアプリケーションの場合。 特に、LL(Perl, Ruby, PHP, Python …)で配布する場合。 Consumer Secret は秘匿するべきもので、やはり漏らして良いものではない。 # まぁ、知らないアプリケーションの問い合わせが来ても自己責任だけどね :P そのため、現状ではユーザーごとに Consumer Secret を取ってもらうしかない。 それを改善する手段として、現在 OAuth WRAP/2.0 という仕様が策定されている。 要はリクエストトークンが不要になる。イコール、Consumer Secret も不要になる。 Twitt
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
OAuth Core 1.0 Japanese Translation - In Volo
V1.0 http://oauth.net/core/1.0/ 3. 定義 サービス・プロバイダ(Service Provider) OAuth経由でアクセスを許可されるウェブアプリケーション。 ユーザ(User) サービス・プロバイダにアカウントを持つ一個人。 コンシューマ(Consumer) ユーザの替わりに、OAuthを使ってサービス・プロバイダにアクセスするウェブ・サイトあるいはアプリケーション。 保護された資源(群)(Protected Resource(s)) サービス・プロバイダが管理するデータ、コンシューマが認証後にアクセスする。 コンシューマ・デベロッパ(Consumer Developer) コンシューマを実装する個人あるいは組織 コンシューマ鍵(Consumer Key) サービスプロバイダに対して、コンシューマが自己証明するために用いる値 コンシューマ・シークレット
OAuthと周辺技術の勉強会 — ありえるえりあ
OAuthの典型的シナリオ userがconsumer(Web上のサービス)を利用 userはSP(別のWeb上のサービス)にアカウントを持っている SPは一般にSNSで、userがSP上に蓄積した情報(個人プロファイルや友達リストなど)は原則的にSPの外部に非公開 consumerは、userに許可を得て、SP上の情報を取得する ただし、userはconsumerにSPのパスワードは教えない OAuth 1.0aの動作シーケンス 表記法 リクエストとレスポンスの区別は自明ですが、ひとめで分かるようにリクエストは --> 、レスポンスは ==> にしています。 リクエストやレスポンスペアの上に書いてある数字はOAuth1.0aスペックのセクション番号です。リクエストパラメータやレスポンスの内容はスペックの該当セクションを参照してください。 リクエストやレスポンスペアの下に書いてある文字列は
やる夫と Python で学ぶ Twitter の OAuth - 宇宙行きたい
OAuth 調べてみたら難しくて理解出来なかったので, Python で標準ライブラリだけで 1 から書いてみました. / \ / _ノ ヽ、_ \ / o゚((●)) ((●))゚o \ twitter の OAuth 難しいお… | (__人__)' | \ `⌒´ / ____ /⌒ ⌒\ /( ●) (●)\ /::::::⌒(__人__)⌒::::: \ だからやる夫でやるお! | |r┬-| | \ `ー'´ / Python のサンプルコードを付けていますが, 上から順に読めるようにおもいっきり手続き型で書いています. コメントで実際の処理の説明を書いています. Consumer Key と Consumer Secret の入手 / ̄ ̄\ / u \ .____ |:
OAuth 2.0の概要 - r-weblife
Eran がエントリ書いてました。 http://hueniverse.com/2010/05/introducing-oauth-2-0/ 今回の内容は翻訳ではありません。 読みながら感じたことを書き連ねたものです。 ■ なぜ新しいバージョンを考え始めたのか?OAuth 1.0aの課題 Eranは3つのポイントを挙げています。 Authentication and Signatures OAuthの実装にわずかでも関わった開発者が感じるのは、署名が面倒だということではないでしょうか? twitterでBasic認証からOAuth/xAuthへの移行に苦労されている開発者の方もいると思いますが、やっぱり工数かかりますよね。 (まぁ、それでも独自でSP達が全部考えた仕様にかなり作りこんで対応するよりは、まだましかとおもいますけど?) これを、HTTPSを使ってSecretそのままでとことん簡
Twitter, OAuth and Passwords - Oh My!
Twitter has a gaping security hole. Changing your password won't stop malicious users logging in as you! I received a rather worrying email from Twitter. Apparently they thought my password had been compromised and needed to be reset. After checking to see if it was valid, I went and changed my password. Any site which relied on a cookie to post to Twitter would have been blocked out. Ha! Gotch
たけまる / OAuth - リソースへのアクセスを代行するプロトコル
_ OAuth - リソースへのアクセスを代行するプロトコル [oauth][openid] [2007-09-23-1] で AtomPub の認証について書いたからというわけではな いのですが,OAuth というプロトコルの仕様を斜め読みしたのでメモして おきます.間違いがあったら教えていただけると嬉しいです m(_ _)m (追記) OAuth の「背景」みたいのについては,miyagawa さんからもらっ たコメントと,まちゅさんのエントリが参考になります. - miyagawa さん oAuthはFlickr,GoogleAuthSub,Y!BBAuth,AOL openAuth,TypeKeyなんかの 統合プロトコルという位置づけ。例では401->WWW-Authenitcateが handshake になってるけど実際はもっと他の方法で運用されるんじゃない かなぁ - まちゅ
Tender Surrender » OpenSocialのOAuthまとめ
OpenSocialでは、コンテナが外部サーバーとの通信を行う際、または外部サーバーがコンテナと通信を行う際、OAuthを使用して認可を行います。今回はOpenSocialにおけるOAuthについて、現段階でのまとめを書いてみます。 ※追記(2008/10/20):2008/10/4に書いたコチラの記事も必読です。 OAuthって何だったっけ? OAuthはユーザー、コンシューマ、サービスプロバイダの3者間でデータのやり取りを行うとした場合、ユーザーがコンシューマにクレデンシャル(IDやパスワード)を渡すことなく、ユーザーが所有するサービスプロバイダ上のリソースにコンシューマをアクセスさせるためのものです。 例えばユーザーがGoogle(サービスプロバイダ)のアドレス帳(リソース)をMySpace(コンシューマ)上で利用するシーンを思い浮かべてください。OAuthがなければ、MySpace
APIアクセス権を委譲するプロトコル、OAuthを知る - @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 OAuthプロトコルを知る OAuthを使ったWeb APIアクセス権の委譲が実際にどのように行われるかはエラン・ハマー氏のブログに詳しいが、簡単に説明すると、2つのアプリケーションをマッシュアップさせたい「ユーザー」が、リソース(例えば、アルバムサイトにある写真など)を管理するサイト「サービスプロバイダ」が提供するAPIの接続許可証「トークン」を、サービスプロバイダを通じて、リソースを利用したサービスを提供する別のサイト(例えば、写真を現像するサイト)「コンシューマ」へ発行し、IDとパスワードの代わりにトークンを渡してサービスプロバイダ上のリソースへアクセスさせる、ということになる。
OAuthを知る - 今日のごはんは素麺です
どうやらOAuthというモノがあるらしい. 仕組みを考えだしたのはTwitterの中の人だとか. そのOAuthについて理解を深めるために, 粛々とつづってみる. 間違っていたら突っ込んでいただけると嬉しいです. OAuthの目的 OAuthは認証と認可を目的とする. OpenIDは認証だけなので, そこがOAuthとの違い. この認可とは, 特定のコンシューマが, 認証されたユーザーの同意によって, サービスプロバイダ上にあるリソースへアクセスできるようになる, というモノ. OAuthの登場人物 サービスプロバイダさん ユーザーの認証と, リソースへ対するコンシューマからのアクセスを認可するサービスのコト. OpenIDでいうOpenID Providerの立場. くだけて言うとOAuthサーバーみたいな感じ. 例えばTwitterとか. コンシューマさん リソースへのアクセスを, ユ
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ゼロから学ぶOAuth 記事一覧 | gihyo.jp
WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)
