印刷する メールで送る テキスト HTML 電子書籍 PDF ダウンロード テキスト 電子書籍 PDF クリップした記事をMyページから読むことができます Googleはサードパーティ製アプリが企業向け生産性スイート「G Suite」のアカウントにアクセスする方法に、大幅な変更を加える。 GoogleはG Suite管理者に対して、2020年6月から「安全性の低いアプリ」(LSA : Less Secure App)を制限し、2021年2月にはアクセスを完全に遮断すると警告した。LSAには、古いバージョンの「Microsoft Outlook」などのメールクライアントが含まれる。 Googleはセキュリティを強化して、メールクライアントユーザーへのフィッシング攻撃などを防ごうとしている。こうした攻撃は、「Gmail」のデータへの不正アクセスに利用される恐れがある。複数のサイトで同じパスワー
はじめに 下記の記事でアドオンを作りましたが、これをドメイン内ユーザーに配布する記事になります。 ドメイン内ユーザーへの配布も一般公開用のアドオン配布とほとんど一緒で、Google Workspace Marketplace SDK を使います。 流れとしては下記のようになります。 GASを作成 Google Cloud プロジェクトを作成 GAS と Google Cloud プロジェクトを紐づけてデプロイ Google Workspace Marketplace SDK の設定とインストール ※ 本手順は特権ユーザーで作業しないと強制配布はできず手動でインストールして貰う形になります GASを作成 この記事で作ったものを流用するのでスキップします。(コードを書き換える必要はありません) Google Cloud プロジェクトを作成する https://console.cloud.goo
ユーザー認証を実装することになったとき、どう設計すればいいのかが分からないかもしれません。あるいは、認証にはいろんなやり方がありますが、採用しようとしている方法で問題ないかが不安かもしれません。 この記事では、ウェブアプリケーションやネイティブアプリでのユーザー認証の仕組みや方法を説明した上で、どの方法がいいのかをケースごとに見ていきます。 私はBtoB、BtoCのウェブアプリケーションやモバイルアプリをいくつか作ってきました。その度に、ソフトウェアの種類に応じたユーザー認証について考え、設計・実装してきました。その経験をもとにこの記事を書いています。
こんにちは、kuraです。 この記事はDigital Identity技術勉強会 #iddance のアドベントカレンダーの12日目の記事です。 開発チームを離れてプロジェクトやサービスのマネジメントが中心の業務になっており、コーディングを全然しなくなったのですが、上流工程でシーケンス図はよく書くため、自身の作業効率を上げる意味も含めて今回はOAuth 2.0やOpenID Connectのシーケンス図をまとめようと思います。 画像だけでなくPlantUMLのコードも掲載しておくので、みなさんにも活用いただけたらと思います。 PlantUMLについて PlantUMLはクラス図やシーケンス図がかけるオープンソースの描画ツールです。Qiitaにも記事をまとめてくださっている方はたくさんいるので詳しい情報は検索してみてください。 筆者は以下のあたりを参考にVSCodeとの組み合わせで作成してい
Firebase Authentication を利用した認証システムの実装 - Qiita
2022年2月追記 Firebase SDK v9では、実装方法が大きく変わりました。 v9を利用した認証の実装については、以下をご覧ください。 Authenticationを利用した実装 前回 に続き、 Firebase の備忘録を書いていきます。 今回はFirebase Authenticationを利用した認証システムの実装についてメモを残しておきます。 Firebase Authentication の設定 認証は、Firebase プロジェクトのコンソールから「Auhentication」を選んで設定していきます。 公式ドキュメントは以下。 ここでは、サンプルアプリで利用したGoogle 認証に絞って記述します。 Google 認証の設定 Authentication → Sign-in methodを選び、設定を「有効」に変更→保存で、終了。 Google認証の実装 Fireb
SPAにおける理想的な認可 - Qiita
こんにちは、kura(倉林 雅)です。 この記事はDigital Identity技術勉強会 #iddance Advent Calendar 2022の23日目の記事です。 前回、Cookie・OAuth 2.0・OpenID Connectの目的別プロトコル選定において目的別での適切なプロトコルのお話をいたしました。 今回はその話に関連したSPAにおける認可についてご紹介します。 なぜSaaSにおけるSPAではOpenID ConnectとID Tokenを用いるのか? はじめに、プロトコル選定や設計・実装において多くの開発者の誤解に繋がっているのではないかと思われる仕様について触れたいと思います。 前回のお話では、新規にSPAを提供する場合はOAuth 2.0を選択するで解説したようにSPAでアプリケーションを提供する際には、OAuth 2.0による認可を行いフロントエンドのJava
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。本記事では、OAuth 2.0において、クライアントが認可サーバーにリクエストを行なってから、認可サーバーがクライアントにアクセストークンを発行するまでのやりとりの流れ(フロー)について、わかりやすく説明していきます。 認可サーバーが提供する2つのエンドポイント 川崎貴彦氏:認可サーバーは基本的に2つのエンドポイントを提供します。その2つは、認可エンドポイントとトークンエンドポイントです。他にもさまざまな仕様があり、他のエンドポイントを定義している仕様もありますが今日は触れません。 このRFC 6749の仕様は、この2つのエンドポイントがどう
2023年3月6日紙版発売 2023年3月6日電子版発売 大竹章裕,瀬戸口聡,庄司勝哉,光成滋生,谷口元紀,くつなりょうすけ,栃沢直樹,渥美淳一,宮川晃一,富士榮尚寛,川﨑貴彦 著 B5判/160ページ 定価2,178円(本体1,980円+税10%) ISBN 978-4-297-13354-2 Gihyo Direct Amazon 楽天ブックス ヨドバシ.com 電子版 Gihyo Digital Publishing Amazon Kindle ブックライブ 楽天kobo honto 本書のサポートページサンプルファイルのダウンロードや正誤表など この本の概要 本書は,Webシステムのセキュリティを支える技術を幅広く解説します。具体的には,公開鍵暗号,共通鍵暗号,ディジタル証明書,電子署名,認証・認可などの基礎技術の用語や理論の説明から,それらを応用したSSL/TLS,SSH,OAu
はじめに Javascript Object Signing and Encryption (以降JOSE)は、JSONを利用したデータ転送用の規格群のひとつです。 当事者間で承認情報などを安全に転送する方法を提供することを目的としています。 本ドキュメントは、JOSEを利用した暗号化の事例紹介です。 同様の技術を必要とする開発者や、暗号化について学習している開発者の参考となることを目的としています。 背景 今回事例を紹介するに至ったAPIの開発では、暗号化にJOSEを使用することが決定していました。 また、APIの暗号化のフローも下記のように決定していました。 クライアントからリクエストでIDを受け取り、そのIDに紐づくユーザ情報を取得する 取得したユーザ情報の一部を署名し、更に暗号化する 暗号化したデータをJOSEのひとつであるJWE形式でクライアントに返却する JOSEを利用した暗号
SNSや音楽ストリーミングサービスなど、個人情報を含むアカウントを管理するために使われるのが「OAuth」です。クラウドサービスを提供する「Gravitational」に勤めるVirag Mody氏が、2012年以降のバージョンであるOAuth 2.0の概要を説明しています。 Everything You Need to Know About OAuth (2.0) https://gravitational.com/blog/everything-you-need-to-know-about-oauth/ アカウントの認証においては、アカウントの所有者やFacebook、Spotifyなどのアカウントを提供するサービスなど、複数の要素が存在しており、OAuthでは下記4種類の「ロール」と呼ばれる役割を認証における各要素に対して与えるとのこと。 ・リソースオーナー:保護されたリソースへのア
SPA で役立ちそうな OAuth 2.0 for Browser-Based Apps を読んだ - ぷらすのブログ
こんにちは、@p1assです。 GW 中に SPA で OAuth を使うときのプラクティスについて調べていたところ、OAuth2.0 for Browser-Based Apps という RFC の Internet-Draft を見つけました。 一通り読んでみたところ、現時点でのベストプラクティスが良い感じにまとまっていたので、興味深かったところを抜粋して紹介します。 全てを網羅するわけではないので、興味がある方は原文を読んでください。 This specification details the threats, attack consequences, security considerations and best practices that must be taken into account when developing browser-based application
Auth0 Marketplace Discover and enable the integrations you need to solve identity Explore Auth0 Marketplace I recently gave a talk at OWASP Virtual AppSecIL 2020 on “Security Facts and Fallacies about Browser Storage,” where I presented the different browser storage options and the security guarantees they offer. When talking about browser storage and security, the top 1 concern is an XSS vulnerab
OpenID Foundation Japan
公開資料 OpenIDファウンデーション・ジャパンでは、OpenID関連技術仕様の日本語訳や、プレゼンテーション資料、その他各種文書を公開しています。 技術仕様 OpenID Connect OpenID Connectは、OAuth 2.0をベースとする、シンプルなアイデンティティ連携プロトコルです。 ここでは日本語訳された仕様を紹介しています。原文ならびにその他の仕様については http://openid.net/connect/ をご参照ください。 OpenID Connect 1.0 specification OpenID Connect Core 1.0 日本語訳 OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである. このプロトコルは Client が Authorization Server
はじめに 前回の第8回では、「Keycloak」の認可サービスのうち、「集中管理方式」について解説しました。集中管理方式では、アクセス制御の管理をシステム管理者が行う「システム管理者中心のアクセス管理」を実現しました。 今回解説する「UMA方式」では、「UMA(User Managed Access)」というプロトコルを使用してアクセス制御の管理をエンドユーザー自身が行う「エンドユーザー(リソースオーナー)中心のアクセス管理」を実現します。この方式を適用することにより、エンドユーザー自身で、リソースを他者と共有設定することや、パーミッションの認可ワークフロー(パーミッションの申請/承認/拒否)を利用することができるようになります。 ただし、UMA方式では、Keycloakやクライアントアダプターの設定以外にも、アプリケーション側へ追加の実装が必要になってくるため、集中管理方式に比べると難易
![Keycloakで認可サービスを試してみよう[後編]](https://cdn-ak-scissors.b.st-hatena.com/image/square/3ab21baaeb827e5554620dfd6a7ac4488e972df6/height=288;version=1;width=512/https%3A%2F%2Fimage.itmedia.co.jp%2Fait%2Farticles%2F1912%2F06%2Fl_key009_zu01.png)
さまざまなクラウドサービスでシングルサインオン(SSO)の利用が増加してきています。その認証として用いられるものにSAML認証という標準規格があります。このSAML認証について説明します。 SAML認証のしくみSAMLとは、Security Assertion Markup Languageの略で、シングルサインオン(SSO)を実現する仕組みのひとつです。 SAMLは、OASISによって策定された異なるドメイン間でユーザー認証を行うための認証情報の規格です。つまり、SAMLはユーザーの認証情報をやり取りするルール・プロトコルを指しています。 SAML認証は、IdPとSPの2つの間で認証情報をやりとりする認証方式です。まずはそれぞれが何かを見ていきます。 IdPは、Identify Providerの略で、ユーザの認証情報の登録や管理を行っています。SAML認証では、認証情報(Identif
システム関連で幅広い事業を展開しているサイオステクノロジーのプロフェッショナルサービスチームが、日々何を考え、どんな仕事をしているかを共有する「SIOS PS Live配信」。今回は、利用頻度の高いOAuthをテーマにシニアアーキテクトの武井氏が登壇しました。続いて、OAuthの認可の流れと、アクセストークン取得のためのフローについて紹介します。前回はこちらから。 OAuthの認可の流れ 武井宜行氏:次に、OAuthの登場人物を説明します。(スライドを指して)いろいろ書いてありますが、OAuthの登場人物をざっくり言うと、認可サーバー、リソースサーバー、クライアント、リソースオーナーです。 さっきの図をベースに説明すると、リソースオーナーはAさんにあたる、Facebookの中の投稿の一覧を保有している人です。認可サーバーは、Aさんを認証する人、認証を提供するサーバーです。リソースサーバーは
最新の6.0で学ぶ! 初めてのひとのための Spring Security (株)クレディセゾン 多田真敏 2022年6月28日(2023年1月改訂) JSUG勉強会 1 このセッションについて ▸ Spring Securityの最新情報に基づいて、 基礎から丁寧に解説します ▸ 対象者 ▸ [必須] この資料レベルのSpringのDIコンテナ・Spring MVC ・Spring JDBC・Spring Bootの知識がある方 ▸ Spring Securityを使うのが初めての方 or Spring Securityを使ったことはあるけど知識をアップデートしたい方 ▸ 以下はスコープ外とします ▸ OAuth、OpenID Connect、SAML、Kotlin、WebFlux 2 https://www.docswell.com/s/MasatoshiTada/5Q4EMZ-spr
2020年11月25〜27日の3日間、LINE株式会社が主催するエンジニア向け技術カンファレンス「LINE DEVELOPER DAY 2020」がオンラインで開催されました。そこで LINE Loginを使った認証を実装する際、脆弱性が生じる可能性がある4つの注意点について、LINE LoginやLINE Front-end Frameworkの開発を担当している尾上良範氏が解説。前半は LINE Loginの機能と2つのケーススタディを共有しました。 具体例で学ぶ、LINE Loginを利用した安心・安全な認証・認可機能の実装方法 尾上良範氏(以下、尾上):「具体例で学ぶ、LINE Loginを利用した安心・安全な認証・認可機能の実装方法」というタイトルで発表いたします。LINE株式会社の尾上と申します。よろしくお願いします。 まず簡単に自己紹介します。Developer Produc
データを攻撃する方法が多様であるように、データを安全に保つ方法多くあります。多要素認証、シングルサインオン、オンプレミスのファイアウォールなど、選択肢は多岐にわたります。開発者やIT専門家にとって、データとアイデンティティをいか安全に保つかという選択は、さらに早い段階の、フェデレーションアイデンティティを安全に保つために導入すべき標準を選択することから始まります。 この判断は必ずしも一筋縄ではいきません。OAuth 2.0、OpenID Connect、SAML(Security Assertion Markup Language)は、それぞれがフェデレーションプロセスの構造を形成するものですが、違いを理解しにくい人が多いようです。ここでは、これらの標準の意味、比較、使用目的の違いを明確に解説いたします。 また、SAMLとOAuthの比較については、別の記事で詳しく紹介していますので、そち
ID基盤をリプレースしました
リプレースの背景ティアフォーID基盤について運行管理システム(FMS)や遠隔監視・操縦システム、自動運転用の地図作成ツールなど複数のサービスを開発しており、ティアフォーのアカウントで、それらのサービスを利用することができるようになっています。問題が発生したときの影響範囲は大きいですが、提供している機能自体はアカウント管理・連携のみの小さいコンポーネントです。 認可基盤が別であることもあり、ID基盤は非常にコンパクトです。本記事では触れませんが、認可基盤については過去に勉強会で発表した資料を御覧ください。 なぜこのタイミングでリプレースしたかリプレース前のID基盤は2018年にDjangoで作られたもので、そこまで古くはありませんでした。しかし、利用していたOpenID Providerのライブラリはメンテナンスがされなくなってしまい、forkしてパッチを当てる必要があったり、リクエスト数も
Keycloakのインストールと構築例
認可サーバ(Keycloak)の構築 まずは認可サーバを構築します。本連載では、Keycloak 9.0.3を使用します。インストール先ホストのOSはCentOS 7.8とします。 Keycloakをインストールします。Keycloakのインストールは、zipファイルをダウンロードして解凍するのみと、非常に簡単です。 まずは事前準備として、Java Development Kitをインストールします。本連載では、OpenJDK 8を使用します。
フロントエンドが知っておきたいセキュリティについて これからアプリ開発でwebviewで開発したいと言われたフロントエンドエンジニアに読んで欲しい内容です。 アプリからSPAにトークンを渡す方法について記載しています。 関連記事 【OpenID Connect】ログイン情報連携させる時ってどうするの? https://menta.work/post/detail/13200/0m3pMbwd9CxzqXiTPLTM
意外とAmazon CognitoユーザープールのGoogle認証連携に関する情報がなかったため、手順をまとめました。 下記のYouTube動画を参考にしつつ実施しています。 How To Add Google Social Sign On To Amazon Cognito | Step by Step Tutorial - YouTube Cognitoユーザープール作成 Cognito側の大まかな設定の流れは以下の通りです。 ユーザープールを作成する ユーザープールにアプリクライアントを追加する ユーザープールにドメイン名を付与する アプリクライアントの設定で各種URLやOAuth 2.0の設定を行う まずは、Cognitoのユーザープールを作成しておきます。プール名以外、全てデフォルトのまま作成してOKです。 次に、作成したユーザープールにアプリクライアントを追加します。 アプリク
この記事はニフクラ等を提供している、富士通クラウドテクノロジーズ Advent Calendar 2022の2日目の記事です。 昨日は @ntoofu さんの パケットキャプチャからKubernetes APIのTLS通信を解析する でした。 私は TLS な時点でパケットキャプチャを諦めてしまいそうですが Linux の便利な仕組みと気合があれば TLS 1.3 のパケットキャプチャも可能だとわかり、とても有益でした。私もギークなエンジニア目指して頑張ります。 今日は OpenID Connect のクライアントをどう実装するかについて検討してみたいと思います。 FastAPI + SPA (Vue.js) でちょっとした社内ツールを開発した時に社内の認可基盤との OpenID Connect を用いたログイン連携機能を作りたかったのですが、実装のための情報が少なかったので記事に残してお
はじめに NextAuth.js は Next.js のために作られた OSS の認証ライブラリです。 このライブラリは主に OAuth もしくは Email で認証したユーザーの情報やセッションを連携したデータベースで自動管理できるのが売りです。他の認証システムで既に認証済みのユーザーを管理する方法もありはするのですが、OAuth や Email 認証に比べるとあまり分かりやすいサンプルコードがありません。防備録も兼ねて、ここで知見を共有したいと思います。 なお、NextAuth ではログイン中のユーザーの情報は firebase.auth.User を React Context で保持するようなことはできず、あくまでユーザー ID など JSON にシリアライズして(JWT のペイロードに含めて)管理できるものだけが対象となります。この記事では Firebase Authentica
NextAuth.js for client-side authentication in Next.js | LogRocket Blog
Ejiro Asiuwhu Software engineer with a drive for building highly scalable and performant web applications. Heavily interested in module federation, micro frontends, state machines, TDD, and system designs. Big on web performance and optimization, advanced component design patterns, a11y, SSR, SSG, ISR, and state management. Expert at crafting highly reusable TypeScript-heavy component libraries. E
本記事は以下のような読者を想定しています 認証認可の初学者 Keycloak と Azure AD をID連携させたい方 はじめに 本記事では Keycloak を用いて外部ID連携を実装 します。 ID連携というのは自サービスのユーザー認証を外部へ任せることです。例えば本記事内でも使用する Keycloak というソフトウェアを用いると自社サービスへアクセスするためのユーザー認証を Google や Facebook などのアカウント提供者に任せることができます。 ID連携をすることで例えば以下のようなメリットが得られます。 ユーザー自身が管理するID/PWが少なくなる。 アカウント管理の負担が減る。 ここでは Keycloak と Azure AD を用いてID連携をしてみたいと思います。TwitterやGoogleなどのアカウントを用いたソーシャルログインやLDAPサーバーを用いたI
CloudFront で Lambda@Edge を使って OpenID Connect (OIDC) 認証 - Qiita
CloudFront と S3 を使ってサーバーレスなウェブサイトを構築し、特定のユーザーにのみ公開するために Google, GitHub など外部の認証プロバイダ (IdP) を使って認証をおこなう方法です。CloudFront ではリクエスト中継時に Lambda 関数を実行し認証などの処理をおこなうことができるため、それを使うことにします。 OpenID Connect による認証シーケンス CloudFront にアクセスした際のシーケンスは以下のようになります。 構築手順 OpenID Connect (OIDC) による認証をおこなう Lambda 関数を Widen/cloudfront-auth というツールを使って生成します。様々な認証プロバイダに対応していますが、ここでは Google で認証し、特定ドメインのメールアドレスのユーザーのみをアクセス許可してみます。 ※
SecurityToken authentication requirements for API and Git operationsAs previously announced, beginning November 13th, 2020, we will no longer accept account passwords when authenticating with the REST API and will require the use of token-based authentication (e.g., a… As previously announced, beginning November 13th, 2020, we will no longer accept account passwords when authenticating with the RE
Google APIs の認証周りをお世話してくれる Python のライブラリ oauth2client が大分前から非推奨になっていた | DevelopersIO
はじめに テントの中から失礼します、CX事業本部のてんとタカハシです! 以前、下記の記事で OAuth 2.0 の認証を通して YouTube Data API を叩く Python のコードを載っけました。 その際、YouTube Data API のドキュメントに記載してあるサンプルコードを参考したのですが、OAuth 2.0 の認証を通すために使用されているライブラリoauth2clientは大分前から非推奨になっているようです。 Note: oauth2client is now deprecated. No more features will be added to the libraries and the core team is turning down support. We recommend you use google-auth and oauthlib. For
2020年3月17日、株式会社Authleteが主催する「OAuth & OIDC 勉強会 リターンズ【入門編】」が開催。同社の共同創業者であり、プログラマー兼代表取締役でもある川崎貴彦氏が、OAuth 2.0 / OIDCの仕様について解説しました。本記事では、OpenID ConnectのフローやJWKとIDトークンの関係、セキュリティ的に非常に重要かつ必須なPKCEについてわかりやすく解説していきます。 OAuth 2.0フローとOpenID Connectフローとの関係 川崎貴彦氏:今度はOpenID Connectのフローの説明をします。 OAuth 2.0では認可エンドポイントを使うフローとして、認可コードフローとインプリシットフローの2つがあります。認可コードフローの認可リクエストとインプリシットフローの認可リクエストは、どうなっているかというと、まずresponse_typ
はじめに 個人開発で日記のWebサービスをリリースしました。ツール系のサービスとしてOAuth認証からStripe課金までひととおり実装したので、個人的には多くの技術的知見を得られました。ここでは一つの技術を深追いせず、利用したライブラリ等についてざっと紹介したいと思います。PythonでWeb開発を行う方やこれからの方も含めて、他の開発者がどのようなライブラリ等を選定してるのか参考になれば幸いです。 サービスの概要 日記をカテゴリごとに登録し、グラフで可視化することで振り返りを促すサービスとなります。 サービスに含まれる機能とその目的を大まかにリストアップします。 OAuthでSNS認証することでユーザーに煩わしいパスワードの管理をさせないこと PC・スマホを問わずどの端末からでも参照・登録できるよう、ブラウザのサイズを問わないレスポンシブ対応とすること 日記をグラフで可視化することで、
https://をスキーム、exampleをサーバー名、xxx.xxxはドメイン、example.xxx.xxxの部分はオーソリティ、yyyy/zzzzはパス名といいます。(諸説あるかもしれません) 手順2 GAS側 適当に新しいプロジェクトを作って関数を作ります。 文字列を受け取ってHello!とくっつけるだけです。 次にGoogleCloudPlatformとの連携を行います。GASは昔は自動で連携してたんですがその機能がOFFになっているそうで自分で作らなければいけません。 手順3 GoogleCloudPlatform側 これは課金が必要です。よくわからないですが無料トライアルに銀行口座が必要らしいです。自動で請求しないみたいですが。 新しいプロジェクトを作る。(名前はGASと同じがわかりやすい) APIとサービスからOAuth 同意画面に移動する。同意画面を作成していきます。 ア
こんばんは、OAuth👮♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか? お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日はID連携時のCSRF対策について、動くものがある状態からのチェックの方法を紹介します。 手元で開発したサービスの登録とかログインにソーシャルログイン機能をつけて「おっ、IdPと繋がった!」ってなったら、Qiitaにその手順を晒すまえにこういうのを試してみましょう。 IdPに遷移する時のURLを確認する ライブラリとかで作る場合は、登録もログインも既存アカウントへの連携も同じような処理が行われるはずです。 なのでだいたいどこでも良いと思います。 ※画像はイメージです ※画像はイメージです Googleでログイン機能とかを
OpenID ConnectのRPを実装していた際、Authentication Requestでのパラメーターにstateとnonceの2つがあることに混乱してしまったので自分用まとめです。防ぎたい攻撃はそれぞれ別のようですがnonceだけで良くないか?と。 OpenID ConnectはOAuthの拡張 OpenID ConnectはOAuth 2.0でAPIを保護しつつ、クライアント上でのユーザー認証もできるようにした仕様です。そしてstateはOAuth 2.0由来のパラメーターで、nonceはOpenID Connect由来のパラメーターです。あくまでOpenID ConnectはOAuth 2.0の上に乗っかっている存在のため、たとえnonceでカバーできようとも互換性のためstateには手を出さなかったと考えることで似たようなパラメーターがある意味に納得することにしました。
はじめに OAuth2.0の拡張仕様で当たり前になりつつある?PKCEについてまとめました。 「PKCE」とは PKCEとは、「Proof Key for Code Exchange by OAuth Public Clients」の略称で、認可コード横取り攻撃を対策するための、OAuth2.0の拡張仕様です。 みんな大好き?RFCの7636に定義されています。 RFCに読み方も定義されており、「PKCE」も定義されています。 PKCE, pronounced "pixy" とあるので「PKCE」は「ピクシー」と読みます。 ※ ポケ○ンではありません。 認可コード横取り攻撃 この拡張仕様は「認可コード横取り攻撃」の対策を行うための仕様なので、まず、このRFCで対策する攻撃についてまとめます。 この攻撃にはいくつかの前提があります。 OAuth2.0の「認可コード」フローを使用 Public
OAuth/OIDC コンサルティングの実際
ふだんプリセールスや、コンサルティング(正確にはプロフェショナルサービス)で、どんな感じでお客さまからヒアリングして OAuth 2.0 (OAuth) / OpenID Connect (OIDC) に落とし込んでるのか、ちょっと書き出してみる。 全体を把握する多くの場合、お客さまはすでにやりたいことを頭に描いていて、その実現に OAuth なり OIDC が使えそうだという感触を持っている。その上での第一歩は、まずは全体の構成を整理するところから。ヒアリングするのは次の 3 つの要素。 1. 提供するサービス / API の内容アイデンティティ情報(認証結果/SSO、属性情報)なのかデータや機能なのか2. API クライアント / リライングパーティファーストパーティ / サードパーティサーバーアプリケーション / ネイティブアプリケーション事業単位・管理単位3. アイデンティティ情報
ritouです。 某イベントのこの辺で出てくる質問に回答してみました。 Q. SAMLとの違い A. OAuthとは目的/用途が異なる。OIDCとの比較では、SAMLをモダンにしたのがOIDCという認識でおk。XML->JSON, XML Signature->JWTみたいな仕様の違いがある。あとはOIDCはSPAやモバイルアプリ、Verifiable Credentialsといった世の中の動向に追従して現在進行形で拡張仕様やプロファイル、ベストプラクティスの策定が進められている。 Q. 言葉の定義 A. 英語では決まっている。日本語に変換するときにおかしくなったり、IDaaSなどでOIDCをそのまま適用していない場合などで用語の混乱が起こりうる。 Q. 人間が介在しない認証フローではImplicit?非推奨? A. おそらくClientCredentialsの方が適している Q. Con
PHPで有名なメール送信ライブラリを調べてみると、PHPMailerがおすすめのようです。 https://github.com/PHPMailer/PHPMailer こちらを利用してメール送信を行うことにしました。 SMTP Error: Could not authenticate 調べてみると、いくつか送信のサンプルが見つかったのですが、 「安全性の低いアプリのアクセスをオンにするを選択」 という手順が必要だそうで。 確かに、デフォルトのままだとSMTPサーバーへの接続時にエラーになります。 エラーログの抜粋です。 SERVER -> CLIENT: 535-5.7.8 Username and Password not accepted. Learn more at 535 5.7.8 https://support.google.com/mail/ - gsmtp SMTP E
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
グーグル、安全性が低いアプリによる「G Suite」アカウントへのアクセスを遮断へ
Google Apps Script で作成したアドオンをドメイン内ユーザーに配布する
ユーザー認証とは?ウェブやAPIでの認証の仕組みや設計を解説します
【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ - Qiita
OAuth 2.0のフローの種類と2つのエンドポイントについて解説
今さら聞けない暗号技術&認証・認可 ―Web系エンジニア必須のセキュリティ基礎力をUP
mutual-TLS(mTLS, 2way TLS)相互認証の仕組み ~クライアント認証とトークンバインディング over http
JWE、JWSとは?JWEとJWSによる暗号化の実装方法を事例を用いて解説 | Fintan
SNSなどでアクセス権限を与えるために利用される「OAuth 2.0」はどのように動作しているのか?
Secure Browser Storage: The Facts
Keycloakで認可サービスを試してみよう[後編]
SAML認証について - Admina by Money Forward
OAuthの認可はどのような流れで進むのか? アクセストークン取得のための3つのフロー
最新の6.0で学ぶ!初めてのひとのためのSpring Security | ドクセル
LINE Loginで安心安全な認証を実装するために Webアプリケーションによくある脆弱性とその防ぎかた
OAuth、OpenID Connect、SAMLの違いと用途 | Okta
フロントエンドが知って おきたいセキュリティについて
Amazon CognitoユーザープールでGoogle認証を連携する | DevelopersIO
よくあるSPA+API構成でのOpenID Connectクライアント実装 - Sogo.dev
NextAuth.js と Firebase Authentication の連携
Keycloakを用いて外部ID連携を試してみる - Qiita
Token authentication requirements for API and Git operations
OpenID Connectのフローや、JWKやPKCEについて解説
Flaskで個人開発したツール系Webサービスの技術スタック
WebサイトのJSからGASの実行可能APIを最短最高で叩く - Qiita
ID連携におけるCSRF対策のチェック方法 - r-weblife
OpenID Connectのstateとnonceの違いがわからなかった - Qiita
OAuth2.0 PKCEとは 〜Stateとの違い〜 - Qiita
"仕様が読めるようになるOAuthとOpenID Connect入門"の質問への回答
PHPMailerからGmail + OAuth 2でメールを送信する
anond.hatelabo.jp
qiita.com/fuku2014
www.interest-watching.com
tazuna.ue.bulog.jp
www.itsmything.jp
kofukutrading.com