FacebookのoAuthでアクセストークンの発行元アプリを取得する方法 | R.A.M
oAuth2.0(Implict Flow)を認証に用いた時の2つの対策を簡単にまとめておきます。(openid connectは使わないので、Facebook限定の方法です)【対策1:stateパラメータを利用する】【対策2:アクセストークンの発行元アプリ情報を取得する】開発者ちゃん「認証にoAuth認証を使ってやったぜ~。ワイルドだろ~。」 ワ、ワイルドすぎます。。。 と、流行りの話題には流行りのギャグということで、 「openid」と「oAuth」を混同する理由の一つに、 “oAuth認証”という言葉が蔓延しているからではないかと思うきょうこの頃。 ので、いっそ”oAuth接続”とか呼んじゃえばいいのに。 openid認証 / oAuth接続、だったら、認証 / 認可、の対比が割と分かりやすい気がするし、 「接続」って表現だったら、「openid connect」もoAuth
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
