EC-CUBE4のGraphQL APIをいじってみた - EC-CUBEのカスタマイズ、ネットショップ制作メモ
今回はゴリゴリの技術系の記事です。 合同オンライン勉強会でネタにしたEC-CUBE4のGraphQL APIがうまく動かなかったので、再度自分の環境を構築して色々やってみました。 note.com なお、この作業をやるまで筆者はGraphQLの知識はありましたがOAuth2の知識はあまりありませんでした。OAuth2の良い勉強になりました... GraphQL APIが動く環境をまず準備 勉強会の時に用意してもらった環境でうまく認証ができなかったので、その辺りのデバッグをするためにもとりあえず自前の環境にAPIが動いてるEC-CUBE4を準備します。 EC-CUBE4カスタマイズの お問合せはこちら インストール とりあえずgithubからAPIのブランチをチェックアウト。 管理画面にログインしようとするとエラー Key path "file:///var/www/html/var/oau
OAuth で state パラメーターを使わなかった場合に起きうることの例 - dodosuke0920’s blog
Authlete Inc. で事業開発(営業)を担当している 岸田 と言います。前回、イギリスの銀行 API での UX について翻訳してみましたが、今回はもう少し技術よりの話をしたいと思います。 先週、社内の Slack 上で、下記のブログが流れてきました。 medium.com API を公開するサービス自体の脆弱性と、API を利用する側の実装不備を利用した攻撃に関してです。今回の話の中心である state パラメーターについては、その必要性含めいろいろお問合せいただくことも少なくないですし、また、私自身ちょっと理解するのに苦労したので、簡単にまとめてみたいと思います。 報告されている脆弱性 ブログで報告されている脆弱性をまとめるとこんな感じです。 OAuth 2.0 を実装し、API 経由で別サービスにファイルを共有可能なサービスを想定する。そのサービスでは、{{construct
はじめに OmniAuthの公式のwikiを読んで学習した内容を備忘録としてこちらに投稿します。 OmniAuthって? Deviseのバージョン1.2から追加された、OAuthに関するモジュールのこと。 このモジュールを利用すれば、twitterやfacebookといったプロバイダーに登録されている情報でユーザー認証を行うことができます。 Before you start config.omniauthは、アプリケーションにomniauth プロバイダーのミドルウェアを追加します。これは、config/initializers/omniauth.rbにconfig.omniauthを記述するべきではないことを意味します。なぜなら、そうしてしまうとお互いのomniauth プロバイダーのミドルウェアが衝突し、認証ができない事態に陥ってしまうからです。 config/initializers
Flask とPyJWTを使用してGoogleとのOpenID連携するためのAPI作成方法についてメモする。 連携処理をバックエンド側に持たせたかったため、Docker起動できる形で過去に作成した検証コードをAPI化した。 作成するAPI 認可リクエスト作成API Googleへの認可エンドポイントへアクセスするためのURLをパラメータをつけて生成・返却する。 state,nonceはAPI呼び出し時に生成し、レスポンスとして返却する。 client_idなど固定の属性値は環境変数から取得する。 リクエスト例
You probably do not need OAuth2, nor OpenID Connect. This is a controversial opinion, even more so because my biggest professional achievements are two of the most successful open source projects in the OAuth2 and OpenID Connect world: Ory Hydra (started in 2015)Ory Fosite (started in 2016)Those two projects helped spawn a company that raised series A and an open source ecosystem used by millions.
Announcing OAuth 2.0 support for IMAP, SMTP client protocols in Exchange Online - Microsoft 365 Developer Blog
Announcing OAuth 2.0 support for IMAP, SMTP client protocols in Exchange Online Last year, we announced that we would enable OAuth 2.0 support for IMAP, SMTP AUTH protocols and retire Basic Authentication access to Exchange Online mailboxes. Today, we’re announcing the availability of OAuth 2.0 authentication for IMAP, SMTP AUTH protocols to Exchange Online mailboxes. If you have an existing appli
RFC 8252 - OAuth 2.0 for Native Apps 日本語訳 原文URL : https://datatracker.ietf.org/doc/html/rfc8252 タイトル : RFC 8252 - ネイティブアプリのOAuth 2.0 翻訳編集 : 自動生成 [要約] RFC 8252は、ネイティブアプリケーション向けのOAuth 2.0の仕様であり、セキュアな認証と認可を提供することを目的としています。この仕様は、ネイティブアプリケーションがユーザーの認証情報を安全に取得し、APIへのアクセスを管理するためのガイドラインを提供します。 Internet Engineering Task Force (IETF) W. Denniss Request for Comments: 8252 Google BCP: 212 J. Bradley Updates:
OAuth2.0の挙動がどうなっているのかを掘り下げ、OpenID ConnectとOAuth2.0の仕様と挙動を比較しながら、OpenID Connectのことをざっくりとわかってもらうことをゴールとしています。 また、RailsでOAuth2.0を使う方法やOpenID Connectを使うための方法のヒントを書いています。デモでコードは見せましたが、資料にはコードは載せていません。 2020-03-03: 間違いの指摘を受けたので、内容を修正しました。 2020-03-04: UserInfoエンドポイントに関する箇所を修正しました。
初めに 既存のRailsでシングルサインオン(以下SSO)を実装したいときによく出てくるのが、OpenID Connect。入門解説やフロー解説はありますが、実際にRailsで実装するときはどうすれば良いのかわからない...ということで調べてまとめてみました。実装前の前提知識ということで、ざっくり説明します。 参考 第一回 認証基盤のこれからを支えるOpenID Connect | オブジェクトの広場 OpenID Connectとは? 分かりやすい解説がすでに幾つかあるので、そちらに任せます。ここの例はすでに存在するサードパーティ(Yahoo)のアカウントを使って自社サービス(Gree)のアカウントを紐づけるSSOの概要です。 スライド67ページ目の「サービス導入例」が分かりやすいです。この辺をみてある程度流れを確認した後に、初めのほうの説明見るとイイですね。ただ、構成要素について詳しい
Let’s pretend I own a service and I want to grant other services access to my service on behalf of my users. The familiar OAuth 2.0 is the industry standard used by the likes of Google sign in, Facebook, etc. to communicate safely without inconveniencing users. Implementing an OAuth Authentication server is conceptually simple but a pain in practice. We can leverage the power of Cloudflare Workers
はじめに FlaskとVue.jsを使ったWebアプリケーションの実装する際、ログイン機能とJWTを使ったAPIの認可の仕組みを実装しました。その機能のまとめです。 JWTをどこに保存するか問題など、明確な正解がない中で実装をしましたので、同じようにどうしようか迷っている方の参考になればと考えています。 脆弱性やもっと堅牢にするにはこうした方がよいなどあればコメントください。皆さんでより良い認証の仕組みを考えることができればいいと考えています。 今回はFlask-JWT-Extendedというライブラリを使用して、JWTの生成や検証を行っています。 また、生成されたJWTはcookieに保存されます。 サーバーサイド Flask Flask-JWT-Extended クライアントサイド Vue.js 用語 今回の記事で使用する用語と意味合いです。認識の齟齬を生まないために一応記載しておきま
Xcode12.5でビルドするとASWebAuthenticationSessionがエラーで開かない問題の対処法。 - 文字っぽいの。
エラー内容 Error: The provided scheme is not valid. A scheme must not include any special characters, such as ":" or "/" 起こること Xcode12.4以前ではこのエラーが出つつもASWebAuthenticationSessionの画面が表示されたが、Xcode12.5ではなにも表示されない。 対処法 エラーの内容通りに対応すれば良い。ASWebAuthenticationSessionに渡す callbackURLScheme から特殊文字を省く。 自分が実装した例だと、ASWebAuthenticationSessionの callbackURLScheme に、callbackURLをそのまま渡してしまっていた。 let callbackURL = "callback-sc
It's Time for OAuth 2.1
Trying to understand OAuth often feels like being trapped inside a maze of specs, trying to find your way out, before you can finally do what you actually set out to do: build your application. While this can be incredibly frustrating, it’s no accident that OAuth is actually made up of many different RFCs, building upon each other and adding features in different ways. In fact, the “core” OAuth sp
Microsoft ID プラットフォームのアプリケーションの種類 - Microsoft identity platform
Microsoft ID プラットフォームでは、さまざまな最新アプリ アーキテクチャ向けの認証がサポートされています。そのいずれも、業界標準のプロトコルである OAuth 2.0 または OpenID Connect に基づいています。 この記事では、使用する言語やプラットフォームを問わず、Microsoft ID プラットフォームを使用して作成できるアプリの種類について説明します。 情報は、アプリケーションのシナリオでコードを詳しく確認する前に大まかなシナリオを理解するうえで役立ちます。 基本 Microsoft ID プラットフォームを使用する各アプリを、Microsoft Entra 管理センターの [アプリの登録] で登録する必要があります。 アプリの登録プロセスでは、次の値が収集され、対象のアプリに割り当てられます。 アプリを一意に識別する アプリケーション (クライアント) I
はじめに クライアントを作って理解するOAuth2(準備編) - oinume journalの続編。前の記事ではGoogle APIsのプロジェクトを作成してOAuth2 clientを登録した。この記事では発行されたClient idを使って実際にAccess tokenを取得する部分をGoで実装してみたいと思う。 ソースコードは GitHub - oinume/go-oauth2-client-sample: OAuth2 client sample in Go にあり、OAuthの実装はserver.goにまとまっている。main関数はcmd/oauth2-client-sample/main.goにあるが、これはサーバーの起動処理があるだけの薄いものである。サーバーの起動方法などについてはGitHubのREADMEを見てほしい。 前提 OAuth2のGrant typeはAuth
Authorization Code Flow with PKCE Clientの実装(Node.js) - Qiita
はじめに RFC7636 PKCE(Proof Key for Code Exchange by OAuth Public Clients)は認可コード横取り攻撃の対策(authorization code interception attack)として策定された仕様です。 また、PKCEは認可コード横取り攻撃にかかわらず、OAuth2.0におけるCSRFの対策としても機能します。 なお、stateによるCSRF対策ではクライアントが検証を実施するのに対して、PKCEによるCSRF対策では認可サーバーが検証を実施するという違いがあります。(PKCEを利用した場合でも、クライアントが固定値などの脆弱なcode_challenge、code_verifierを利用するとCSRFに対して脆弱になるためクライアントに対策の責務がないわけではありません) PKCEはスマートフォンアプリなどのPubl
英国オープンバンキング技術仕様の概要
Prepared for Open Banking / API Study Meetup https://obie.peatix.com/Read less
認証とセキュリティ
認証・認可とか、認証周りの構成とか注意点について時間が経つとすぐ忘れてしまうので、備忘録かねて記事で残しておこうかと思います。 参考記事 認証と認可 まず認証周りの整理から。 認証と認可は別なものです。よく聞く OAuth2.0 は 3rd party 向けの認可の仕組みを定義したものであって、認証の仕組みではないのでこの差を理解しないまま流用すると誤った認証や攻撃対象となってしまうリスクを伴います。 認可とは 認可とは、あるリソースに対してアクセスを許可することです。あるリソースとは例えば Google photo の画像かもしれないし、Github のリポジトリのソースかもしれません。名前やメールアドレスなどの個人情報を含むものかもしれません。認可はこれらのリソースに対してリソースオーナーが許可することを指しています。 身近なもので言うと、切符なんかがよく例に出されます。駅に入るには、
フィードバックを送信 Workload Identity 連携 コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。 このドキュメントでは、外部ワークロードのための ID 連携の概要について説明します。ID 連携を使用することで、サービス アカウント キーを使用せずに、Google Cloud リソースへのアクセス権を、オンプレミスまたはマルチクラウドのワークロードに付与できます。 ID 連携は、アマゾン ウェブ サービス(AWS)や、OpenID Connect(OIDC)をサポートする任意の ID プロバイダ(IdP)(Microsoft Azure など)、SAML 2.0 で使用できます。 ID 連携が必要な理由 Google Cloud の外部で実行されているアプリケーションは、サービス アカウント キーを使用して Google Cloud リソースに
既存RailsアプリをSSO化して本番環境で活用した話(前編)
この記事は 2021/09/16 (木) に行われた WESEEK Tech Conference の内容をまとめたものです。 発表前半部分の 「OpenID Connect に対応した認証基盤を構築した話」 を掲載しております。 既存RailsアプリをSSO化して、本番環境で活用した話【WESEEK Tech Conf #12】 目次 インターネットマルチフィード様紹介 インターネットマルチフィード(株)とは? MF社では、JPNAP と transix というサービスを提供しております。 JPNAP は IX(Internet eXchange) のサービスで、様々な事業者様にご利用いただいております。 transix は NTT 東・西日本が提供しているフレッツ光の IPv6 IPoE 接続を事業者様向けに提供しているサービスです。 各サービスの詳細な内容については、こちらをご覧くだ
モバイルアプリで機械学習入門/introduction-to-machine-learning-in-mobile-app
Google の OAuth 同意画面を審査して承認をもらった話 - aprifield’s blog
markdown.aprifield.com オンラインで利用可能な Markdown エディターを公開しています。PWA としてインストールすればオフラインでも利用可能です。 今回は Google の OAuth 同意画面の審査をしましたので、その件について記載します。 技術ネタなので Qiita に投稿したいところですが、自信を持って「こうすれば審査通りますよ」って言える内容ではないし、サービスによって対応方法は異なるでしょうから、個人ブログに投稿します。 Google の OAuth 同意画面を審査する目的 Google が審査する目的は置いておいて、こちらから審査を依頼する目的は以下の 2 つでしょうか。 OAuth レート制限を緩和する OAuth の同意画面に警告が表示されないようにする OAuth レート制限を緩和する おそらく、審査を通さないと、ユーザー数の上限が 100
はじめに 前回の記事に引き続きAuth屋さんのOIDC本を読みました。 今回もチュートリアルのcurlとブラウザで行っている部分をgolangに置き換えてみたいと思います。 方針は前回の実装と同じです。 httpサーバを起動させる アクセスするとgoogleにリダイレクトさせる callbackを受けたら認可コードでトークンリクエストをする 取得したトークンでプロフィールにアクセスする OAuthではGoogleのPhoto APIにアクセスしましたが、プロフィール情報にアクセスするのが違いとなります。 IDトークンの検証も行いますが勉強のためなるべくライブラリなどは使用せず標準pkgで愚直に書いてみます。 golangに最近入門したのでお見苦しいコードを書いているかもですがご笑覧ください🙇♂️🙇♂️🙇♂️ 最終的なコードは以下にあります。 準備 OAuthでGoogleに設定
GitHub - yoskeoka/gognito: golang api server + AWS Cognito
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
はじめに 本記事では、OSSのAPI GatewayであるKongにOAuth2.0によるアクセス制御を追加する方法を紹介します。 OAuth2.0によるアクセス制御の導入には、Kong Gateway OAuth2 Pluginを利用します。 全体構成は以下のようになっています。特筆すべき点としては、Kongがリソースサーバーだけでなく認可サーバーとしての役割も担う点があげられます。 なお、本来であれば認可リクエストをKong Gateway OAuth2 Pluginが受け取れるPOSTに変換するコンポーネント (認可サーバーのフロントエンド相当) が必要になりますが、今回はクライアントから直接POSTでリクエストしている点に注意してください (後述)。 本記事の内容の大部分は以下のページを参考にしています。 また、上記のページ中にも環境構築手順の記載はありますが、より簡単に構築するた
はじめにこんにちは、TIG の吉岡と申します。Tech Blog には初投稿です。認証認可連載の 5 本目です。 業務で認証・認可に関する SaaS に触れる場面があり、そういえば OAuth, OpenID Connect の仕組みをちゃんと理解していなかったと思い、RFC を読みながら OAuth クライアントを実装してみました。N 番煎じの車輪の再発明ですが、何かの役に立てば幸いです。 ※本稿において、OAuth は基本的に OAuth 2.0 を指しますが、OAuth 2.1 にて推奨されているベストプラクティスを取り入れています。 ※本当は OpenID Connect にも触れたかったのですが力尽きました。また機会があれば書かせてください。 Prerequisitesこの記事は、次のような方々に向けて書いています。 OAuth を聞いたことがある 認証と認可の違いを認識している
ritouです。 何の話か? このあたりの話です。 FE + BE が存在するID連携 SPAやネイティブアプリといったフロントエンドと、バックエンドサーバーを組み合わせたサービスでID連携を行う際、バックエンドサーバーを起点、終点としたフローを考えられるとセキュアにできますよ、みたいな話を前に書きました。 次に、認可サーバー/リソオースサーバーとのやりとりを Backend Server に任せる パターンです。 リソオース... 前提として、モバイルアプリやSPAとBackend Serverの間にセッションが確立しており、Client は認可リクエストのURLにリダイレクトするだけ、認可レスポンスのパラメータを Backend Server に送るだけです。 このセッションが確立している前提について、ログイン後のID連携などではセッションが確立されているが未ログイン状態のソーシャルロ
SPA with Implicit Grant - handling token refresh · Issue #1218 · aws-amplify/amplify-js
You signed in with another tab or window. Reload to refresh your session. You signed out in another tab or window. Reload to refresh your session. You switched accounts on another tab or window. Reload to refresh your session. Dismiss alert
Google Sign-In をReactなSPAで使った時の日記です。 サーバーとの連携やセッションの管理について少し悩んだのでメモっておきます。ちょっと長くなりそうなので何回かに分けます。 Google Sign-In Google Sign-Inと言っているのはこれのこと。 developers.google.com こちらにしたがって、Google Cloud Platformの認証情報を作成し、クライアントIDを取得する。「承認済みの JavaScript 生成元」として localhost:3000 を指定しておく。 取得できたら早速使ってみる。まずはReactなしで試す。必要なのは以下の4つ。 metaタグに取得したクライアントIDを指定する https://apis.google.com/js/platform.js を読み込むscriptタグを用意する g-signin2
Python から OAuth 2 な API を利用する際に、urllib + oauthlib を使った場合の具体的なやり方がググっても出てこなかったので、自分でやってみた。 今回は例として Netatmo API について記述しているが、OAuth 2 に対応した API であればやり方はほとんど変わらないはず。 なぜ urllib + oauthlib か urllib は HTTP リクエストを送るライブラリとしてよくまとまっていて、oauthlib は OAuth に関する処理を行うライブラリとしてよくまとまっていて、Python で OAuth 2 クライアントを扱うならこの2つを組み合わせるのが最もシンプルだと思ったから。 ただし Simple ≠ Easy なので、Easy を求める人は Requests-OAuthlib あたりを使ったらいいと思う。 参考: Pytho
OAuth 2.0 Security Best Current Practice Abstract This document describes best current security practice for OAuth 2.0. It updates and extends the OAuth 2.0 Security Threat Model to incorporate practical experiences gathered since OAuth 2.0 was published and covers new threats relevant due to the broader application of OAuth 2.0.¶ Status of This Memo This Internet-Draft is submitted in full confor
With Identity Brokering Sync Mode it is now possible to control if user profiles are updated on first login, or every login from an external Identity Provider. It is also possible to override this behaviour on individual mappers.
OAuth2 Server PHP
require_once('/path/to/oauth2-server-php/src/OAuth2/Autoloader.php'); OAuth2\Autoloader::register(); Using Composer? Execute the following command: composer.phar require bshaffer/oauth2-server-php "^1.10" This will add the requirement to the composer.json and install the library. It is highly recommended you check out the v1.10.0 tag to ensure your application doesn’t break from backwards-compatib
RFC 8705: OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens
RFC 8705 OAuth 2.0 Mutual-TLS Client Authentication and Certificate-Bound Access Tokens Abstract This document describes OAuth client authentication and certificate-bound access and refresh tokens using mutual Transport Layer Security (TLS) authentication with X.509 certificates. OAuth clients are provided a mechanism for authentication to the authorization server using mutual TLS, based on either
デジタル認証アプリがやってくる
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 噂のデジタル認証アプリですが、パブコメが出てますね。 電子署名等に係る地方公共団体情報システム機構の認証業務に関する法律施行規則の一部を改正する命令案に対する意見募集について https://public-comment.e-gov.go.jp/servlet/Public?CLASSNAME=PCMMSTDETAIL&id=290310311&Mode=0 2月末までの募集のようなのでぜひ皆さんみておくと良いと思います。 ざっくり見てみたいと思います。色々と課題もありそうです・・・ 概要OpenID Connect/OAuth2.0もちゃんと採用されていますね。
改定版があります。 https://www.slideshare.net/lemiyachi/oauth-20oidcfido-238611090 PKIプログラマがまとめた電子認証入門です。専門外なので間違いがあるかもしれませんが、自分の理解をまとめたものです。クローズドな勉強会用の資料ですが公開します。Read less
Account hijacking using "dirty dancing" in sign-in OAuth-flows - Labs Detectify
Account hijacking using “dirty dancing” in sign-in OAuth-flows Combining response-type switching, invalid state and redirect-uri quirks using OAuth, with third-party javascript-inclusions has multiple vulnerable scenarios where authorization codes or tokens could leak to an attacker. This could be used in attacks for single-click account takeovers. Frans Rosén, Security Advisor at Detectify goes t
If you’ve ever been on a website, you’ve probably come across OAuth at some point or another, even if you’ve never heard of it. Have you seen a “Sign in with Google” button? If so, you’ve come across OAuth! This article will discuss briefly what OAuth (specifically OAuth 2.0) is, and how it can be implemented incorrectly from a security perspective. Particularly, it will highlight many of the issu
このビデオについて このビデオは、2020 年 1 月 31 日に開催した弊社勉強会のプレゼンテーション録画のパート 2 です。 策定が進む OAuth 2.0 Security Best Current Practice に関連する、周辺仕様の概要について、 Authlete の工藤達雄が紹介します。 文字起こし(ログを元に再構成) OAuth 2.0 Security BCP の概要 工藤: まずひとつ目が、ベストカレントプラクティス、セキュリティBCP です。 もともと "OAuth 2.0" (RFC 6749)、"Bearer Token Usage" (RFC 6750)、"Threat Model" (RFC 6819) という RFC があって、 この中に Security Considerations が、書いてはあるんですね。 ただ 2012 年、もうちょっというとその
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OmniAuthの公式のwikiを読んでみた。 - Qiita
Flask、PyJWTを使用したGoogle OpenID 連携用API作成 メモ - Qiita
Why you probably don't need OAuth2 / OpenID Connect!
RFC 8252 - OAuth 2.0 for Native Apps 日本語訳
わかった気になる!OpenID Connect
RailsでOpenID Connectするときの前提知識 - Qiita
OAuth Auth Server through Workers
WEBアプリケーションのJWT認証まとめ - Qiita
クライアントを作って理解するOAuth2(実装編) - oinume journal
Workload Identity 連携 | IAM のドキュメント | Google Cloud
やさしく入門するOAuth2.0/easy-entry-oauth
golangでOAuthとOpenID Connectの違いを整理して理解する
OSSのAPI Gateway KongにOAuth2.0によるアクセス制御を導入する
OAuth の仕組みを理解しながらクライアントを実装してみる | フューチャー技術ブログ
セッションが確立されていないFE/BE間でトークンを用いて簡易的なセッションを実現する
ReactとGoogle Sign-In - bati11 の 日記
Python でシンプルに OAuth 2 する (urllib + oauthlib) - Qiita
OAuth 2.0 Security Best Current Practice
Keycloak - Blog - Keycloak 10.0.0 released
Announcing OAuth 2.0 beta - Announcements - Twitter Developers
今更聞けない電子認証入門 - OAuth 2.0/OIDCからFIDOまで -
The Wondeful World of OAuth: Bug Bounty Edition
2. OAuth 2.0 Security Best Current Practice - Authlete
k-tai.watch.impress.co.jp
napahibi.com
direct.sanwa.co.jp
uehara-yurika.hatenadiary.com
www.jiji.com
www.hokkaido-np.co.jp