マイクロサービスでの認証認可 - Qiita
複数のクラウドサービスを利用している(マルチクラウド)など、単純には閉域網を構築できない環境でマイクロサービスアーキテクチャを採用する場合には、サービス間の認証認可が必要となる。この場合のサービス間の認証認可方式を決める参考となる、OSSやSaaS、Webサービスで採用方式ついて整理した。 Istio サービスメッシュの実装として有名なIstioではサービス間通信を以下のように制御できる。 Istioの認証認可では認証主体がService Identityというモデルで抽象化され、KubernatesやIstioで定義するService Accountに加えて、GCP/AWSのIAMアカウントやオンプレミスの既存IDなどをService Identityとして扱うことができる。 サービス間の認証 (Peer Authentication) は、各サービス (Pod) に設置するSideca
認証を持たないウェブアプリケーションをいざ認証に対応させようと思うと案外面倒でモチベーションを無くしてしまうなんて事もよく起きうる話です。特に社内向けのアプリケーションを作っていたら本番で使う事になってしまって、なんて話は良くある話です。開発で本番 DB を見るのはちょっと...。でも既存のコードをゴリゴリと触りたくない。そんな場合にログイン認証部分だけマイクロサービス化できると気持ちも幾分和らぎます。今日はそんなちょっと便利なサーバ「loginsrv」を紹介したいと思います。 GitHub - tarent/loginsrv: JWT login microservice with plugable backends such as OAuth2, Github, htpasswd, osiam loginsrv is a standalone minimalistic login se
LINE が PC から使えるようになって、自社サービスなのに wktk しながらハックしてた大沢Yappo和宏です。こんにちわ。初めましての人は初めましてね。 今回は、先日ロケタッチの API に、住所正規化 APIを追加したので簡単な紹介をします。 ロケタッチ API って何? ロケタッチ API は、ロケタッチのユーザーデータ、スポットデータ、チェックインデータ等にアクセスできる API です。 OAuth2 で実装されているので、どのような言語からも利用しやすくブラウザだけで完結するような JavaScript アプリケーション等にも気軽に導入する事が出来ます。 Perl の世界だと Amon2 という Web Application Framework の認証プラグインとしてAmon2::Auth::Site::Loctouchが CPAN にあるので、これを使うと簡単にロケタッ
Welcome back to TechCrunch’s Week in Review — TechCrunch’s newsletter recapping the week’s biggest news. Want it in your inbox every Saturday? Sign up here. Over the past eight years,…
完全に手続き的に書くというより、すこしMVCというかMVVC的な構造に切り分けてかいたらいいのではという内容。チラ裏に移動させた
SAML入門
【累計3500部突破(商業版含む)🎉】 SAMLaiの道は果てしなく険しい。 本書では、SAML2.0で一般的に多く使用されるフローであるWeb Browser SSOのSP-initiatedとIdP-initiatedと呼ばれるものを中心に、SP側の目線でなるべく簡潔に解説します。 SAML認証に対応してほしいと言われても、もう頭を抱える必要はありません。 筆者自身も何もわからない状態からもがき苦しみながらSAML SPを実装し、数年間サービスを運用してきました。 そのつらい経験を踏まえて、SPを実装する上で今まで触れられることのなかった ・どういう設計が必要か? ・何を気をつけなければならないか? のエッセンスを詰め込みました。 SAMLはエンタープライズ用途では求められることが非常に多く、歴史もそれなりに長いものですが、実装する上で必要な体系的な情報はなぜかほとんどありません。
最近のネットデマについて - 最速転職研究会
ソースをろくに確認せずに取り敢えず拡散する 自分の発言の責任が希薄になるように計算されたテンプレート 詳細はリンク先で 真偽不明ですが取り敢えず拡散 自己責任で 元情報が訂正されても、拡散した誤情報は消えない 「あなたのGmailをすべて盗まれる」問題 http://b.hatena.ne.jp/entry/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://topsy.com/jp.techcrunch.com/archives/20101120whoa-google-thats-a-pretty-big-security-hole/ http://disqus.com/guest/84d6bff45c2112e083c425e39f954f5e/ http://t
Windows 10 Mobile (Preview) の入れ方 for build 10512 - 高橋 忍のブログ- MSDN Blogs
In Visual Studio 2022 17.10 Preview 2, we’ve introduced some UX updates and usability improvements to the Connection Manager. With these updates we provide a more seamless experience when connecting to remote systems and/or debugging failed connections. Please install the latest Preview to try it out. Read on to learn what the Connection ...
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
t2b - Twitterのツイートをブログに自動投稿
t2b は 1日分(前日分)のTwitterへのステータス更新(つぶやき)を抽出して、自動でブログへ投稿するオンライン・サービスです。 ご利用は無料です。 ※ t2bは現在α版試験運用中です。予告なくメンテナンス、仕様変更、サービス中断、終了を行う場合があります。 現状は OAuthに対応している Bloggerや、AtomPubに対応しているブログ(例:livedoor Blog, アメブロ, So-net ブログ, はてなダイアリー, mixi 日記など) でご利用いただけます。 対象ブログがBlogger(OAuth)の場合、アカウント(OpenID)やTwitter(OAuth)含めて t2b 側に他サービスのアカウント情報を保存する必要が無いためお薦めです。
Androidアプリケーションから個人情報が流出し、攻撃者に傍受されたり改ざんされたりする恐れがあるという。ドイツの研究者が発表した。 米GoogleがAndroid搭載端末で提供しているカレンダーアプリケーションや連絡先アプリケーションの情報が暗号化されないまま転送され、他人に情報を傍受されたり、改ざんされたりする恐れがあることが明らかになったと、ドイツの研究者が発表した。Androidを搭載したスマートフォンの99.7%がこの脆弱性の影響を受けるとしている。 ドイツのウルム大学の研究者が公開した情報によると、この脆弱性はGoogle CalendarやGoogle Contactsなど「ClientLogin」という認証プロトコルを使っているアプリケーションで、暗号化されないHTTPを介して認証用トークン(authToken)がやり取りされている問題に起因する。これは公衆無線LANを介
語彙力診断の点数分布 - Qiita
語彙力診断 2016年8月18日,とある診断がバズりました. ハッシュタグ検索 #私の語彙力は この診断は50問の類義語/対義語に関する4択問題に答えると点数化され,分布のどの辺にいるのかを教えてくれます. しかし,Twitterで該当ハッシュタグ#私の語彙力はを検索…するまでもなくこの点数が"上位0.43%"でないことくらい感覚的に分かります. なので点数分布を取ってみました. そもそもこんな診断は信憑性のかけらもないよとか言わない. 検索・分布の描画 Twitter APIを使ったプログラムを組むのはほぼ初めてなので,以下 Python で Twitter から情報収集 (Twitter API 編) をベースにして組みました. 変更点は点数の取得とヒストグラムの描画と検索件数の変更です. if point <= 36600としてるのはネタでめちゃめちゃデカい点数に改変してツイートする
マイクロサービス時代の認証と認可 - AWS Dev Day Tokyo 2018 #AWSDevDay
マイクロサービスが話題を集め、コンポーネントの急速な API 化が進んでいます。 認証や認可は、主にエンドユーザとシステムの間の問題だと認識されますが、今やコンポーネント間のサービス呼び出しにおいても重要な役割を担っています。 複雑に入り組んだマイクロサービス間の認証と認可について、実際に開発している API プラットフォームの実例を元に、実践的な知見をお伝えします。Read less
今や「インフラ」と表現しても過言ではないほど、多くの日本人が当たり前のように利用しているミニブログサービス、Twitter。この記事では、Twitterが提供するAPIの使い方を、初心者向けに説明しています。ぜひ、素敵なウェブサービスを作って下さいね。 Twitter DevelopersTwitter APIなどを利用する開発者のためのページ。公式リファレンスの確認や、アプリケーションの作成など。アプリケーションの登録APIを利用するために必要な「アプリケーションの登録方法」を紹介します。APIキーとAPIシークレットを取得できます。 アプリケーションとは?よくAPIを利用するのに「アプリケーションを登録して」という言葉が出てきます。このアプリケーションって何でしょう。これは、SNSでいう「ユーザーアカウント」と同じようなものだと考えると、イメージを掴みやすいと思います。 アプリケーショ
Twitterの認証方式について Twitterの認証方式にはOAuthとBasic認証の二通りの仕組みがあります。 Twitter API Wiki / Authentication Basic認証はお手軽なので、世に存在するTwitter APIを利用する一般的なクライアントは、大抵がこちらの方法を使っているのではないかと思います。 ですが、実はこのBasic認証はセキュリティ上の理由から、将来的に非推奨になることが予告されています。 Twitter API Wiki / OAuth FAQ 既にTwitter API Wikiでは「今後作成するクライアントはOAuthを利用することを強く推奨する」と表明されており、それに応じてOAuthを使うクライアントも増えてきています。 …が、現状Basic認証を利用しているクライアントが既に大量に存在していることを考えると、今日明日でBasic
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、R&D統括本部の袋谷です。 今回、Yahoo!知恵袋に質問や回答を投稿できるAPIを公開しました。 例えば、質問投稿APIを利用して、 「猫は原付並みの速さで走れるって本当ですか?」などの質問を投稿すると、Yahoo!知恵袋に回答受付中の質問として表示されます。 質問には写真や地図(緯度経度)をつけて投稿できます。 また、投稿するカテゴリは指定がない場合は質問文から自動的にカテゴリ判定を行います。 ほかにも、投稿されたばかりの新着質問を表示するためのAPIや、質問の詳細を表示するためのAPIなどを公開しました。 各APIで、できることについて詳しくはこちらをご覧ください。 ・Yahoo!知恵袋のAPI一覧(提供終了)
This webpage was generated by the domain owner using Sedo Domain Parking. Disclaimer: Sedo maintains no relationship with third party advertisers. Reference to any specific service or trade mark is not controlled by Sedo nor does it constitute or imply its association, endorsement or recommendation.
はじめに この文書では、OAuth 2.0 + OpenID Connect サーバーをゼロから一人で実装した開発者(私)が、得られた知見について書いていきます。基本的には「実装時に考慮すべき点」を延々と述べることになります。 そのため、この文書は、「素早く OAuth 2.0 + OpenID Connect サーバーを立てる方法」を探している方が読む類のものではありません。そのような情報をお求めの方は、「Authlete を使って超高速で OAuth 2.0 & Web API サーバーを立てる」を参照してください。そちらには、「何もない状態から認可サーバーとリソースサーバーを立て、アクセストークンの発行を受けて Web API をたたいて結果を得る」という作業を、所要時間 5 ~ 10 分でおこなう方法が紹介されています。 文書のバイアスについて 私は、OAuth 2.0 + Ope
DeNA TechCon 2016 の発表資料です。 REST と JSON の突っ込んだ話と、ちょっと Microservices の話。タイトルに偽りありです。
少し早いですが、メリークリスマス!事業開発部の早川です。 早いもので、入社して 1 ヶ月半が経ちました。 現在は、 prismatix の理解を深めながら、導入支援を行っています。 今回はその中から、認証 / 認可についてお伝えします。 と言っても、これまでに同僚達が書いた分かりやすい記事がありますので、これらのガイダンスの形で、整理していきたいと思います。 ジョインしました 以来、初めての記事となりますドキドキ 目標 本記事をご覧いただいた後、こちらのスライドを何となく理解できる気がすることを目標とします。 本スライドに関するブログ記事はこちらです。 AWS Dev Day Tokyo 2018 で「マイクロサービス時代の認証と認可」の話をしてきた #AWSDevDay 目的 まず、認証 / 認可を学ぶ理由を考えてみました。 近年、様々なサービスが API を通じてつながり、より便利
社内で毎週公開してるセキュリティコンテンツ3ヶ月分を公開します【2020年4月〜7月】 - Qiita
はじめに 普段はWeb開発を生業としている おりばー(@oliver_diary) です。 今年の4月から情報処理安全確保支援士として、社内のセキュリティ向上に努めているのですが、その取り組みの一つとして社内Slackに毎週セキュリティトピックを公開しています。 毎週続けて3ヶ月が経過しましたが、社内だけに閉じておくのは勿体ないと思ったので、記事としてまとめて投稿します。みなさんのセキュリティ意識向上の助けになればと思います。 またセキュリティ研修用に使用したアプリケーションの記事も公開しているので、そちらも併せてご覧ください。 Gitの脆弱性(2020/04/23) みなさん、既にバージョンをあげている方もいると思いますが、Gitにとても深刻な脆弱性が発見されました。 http://www.security-next.com/114201 https://github.com/git/g
もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」 2012年08月13日- AuthManager - StitchApps もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」。 ユーザ認証型のサイトを1から作るとなると面倒な上に、もう誰かが良い物を作ってるんじゃないかという事を誰もが作り直してる気がします。 こういうもの自体をオープンソースにしちゃって誰もが使えるっていうのは素晴らしいですね。 Facebookによる認証やreCAPTCHAによるスパム防止、メールアドレスの認証機能といった標準で必要な機能が入っており、便利に使えそう。 で、ユーザ登録できるのはいいんだけど、肝心の制限はどうやってかけるの?というところは、次のように簡単にやってね、ということらしくお手軽。 ($sesslife自体がどこか
The Station is a weekly newsletter dedicated to all things transportation. Sign up here — just click The Station — to receive the full edition of the newsletter every weekend in your inbox. Sub
JWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Note
JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ、という話*2。確かにいくつか検討することがありますね。 auth0.hatenablog.com auth0の中の人?よくわからないけど、反論的なブログエントリが公開されています。この記事では、指摘の問題が起こらないように設計するのはあたり前では?という意見みたいです。まぁごもっともではないでしょうか。 私も技術そのものというより、要件に合わせて技術を組み合わせる設計の問題だと思っています。加えて、JWTを利用することはそんなに難しいことかという疑問があった
はじめに 過去三年間、技術者ではない方々に OpenID Connect(オープンアイディー・コネクト)の説明を繰り返してきました※1。 その結果、OpenID Connect をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。 2017 年 10 月 23 日:『OpenID Connect 全フロー解説』という記事も公開したので、そちらもご参照ください。 説明手順 (1)「こんにちは! 鈴木一朗です!」 (2)「え!? 本当ですか? 証明してください。」 (3)「はい! これが私の名刺です!
Google+ API Shutdown | Google+ Platform | Google Developers
Send feedback Google+ API Shutdown Stay organized with collections Save and categorize content based on your preferences. Legacy Google+ APIs have been shut down as of March 7, 2019. Developers should have received one or more emails listing recently used Google+ API methods in their projects. Whether or not an email was received, we strongly encourage developers to search for and remove any affec
Twitter apiのガイドラインが改定になるそうです。 Twitter API v1.1でのAPI利用ルールの変更について こちらの日本語ブログは当たり障りのないところしか書いてないので、関係者は英語の方を読むことを強くおすすめします。 Changes coming in Version 1.1 of the Twitter API どうしてもこういう制約が増えるものは、ネガティブが極大化するので、ちょっと冷静に見てきましょう。 ■すべてのapiのエンドポイントに認証が必要、さらにレートリミットの変更 現在、検索apiなどはOAuthの認証が不要で、IPアドレス毎に一時間あたりのアクセス数が定められていますが、これが廃止になり、2013年3月までに全てOAuth認証を通した方法に変更を求めています。 さらに、1時間毎にapiにアクセス可能な数が、apiの内容によって変わります。今までは
Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユーザの中で一意なことが保証されていてかつ他の人がその値を知っていても特に問題がないという情報であればOK)。Passwordは本人しか知り得ない情報。 OAuthという仕様に則って提供される認可方法。古いOAuth 1.0と、OAuth 1.0の複雑なところなどを改善したOAuth 2.0がある。一般的にはOAuth 2.0を使うことが多いが、例えば幾つかのサービスの提供している認可方法はOAut
"Backend Engineer’s meetup ~マイクロサービスにおける認証認可基盤~"の発表資料です。 https://connpass.com/event/142624/
なんですかこれは! New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって? Web Proxy Autodiscovery ですって? チョットニホンゴデオネガイシマス ってことで、まぁこれが実際どれくらい簡単に実現できる攻撃パターンなのかは他のセキュリティ業界の方々に後で聞くとして、この記事でも触れられてる OpenID Connect とか OAuth2 への影響について、ちょっとまとめておきましょうか。 Authorization Request & Response が漏れる response_mode=form_post なんていうのも一部ありますが、基本 OAuth2 /
GoogleカレンダーとSlackステータスをワンクリックで連携できるアプリをGoogle Apps Scriptで書いた - 詩と創作・思索のひろば
Googleカレンダーで現在進行中のイベントをSlackステータスに反映させるようにしておくと、チームメンバーに、移動中や不在やミーティング中といった状況を自然に共有できるので便利ですね。そのように設定している人も多いと思います。 似たアイコンが並んでいるように見えますが一方はモザイクです 巷では Google Apps Script でこの連携を行うような方法が公開されていて、自分でも書いて使ってました。これは一度動かしてしまえば大変便利なんですが、インストールの方法はけっこう面倒で、非エンジニアをふくめ会社のみんなに薦めるには少しハードルが高い。 そこで、Google Apps Script を用いて、(初回のインストール手順を除いて)ワンクリックで Google カレンダーと Slack ステータスの連携を行えるウェブアプリを作りました。 GitHub - motemen/gas-g
インフラストラクチャー部 id:sora_h です。クックパッドでは、社内向けの Web アプリ (以降 “社内ツール”) を社外のネットワークから利用する際、アプリケーションレベルでのアクセス制御とは別に、リバースプロキシでもアクセス制御を実施しています。*1 これまで BASIC 認証あるいは VPN による社内ネットワークを経由した接続という形で許可していました。しかし、iOS の Safari などでは BASIC 認証時のパスワードを保存できない上、頻繁に入力を求められてしまいますし、VPN はリンクを開く前に接続をしておく必要があります。これにより、社内ツールを社外で開く時に手間がかかってしまう問題がありました。 これに対し、一部では typester/gate などを導入し Google Apps での認証を行なっていました。しかしいくつか問題があり、非アドホックな対応では
Railsの第4世代認証エンジンDeviseのREADMEを翻訳してみた - babie, you're my home
Devise の README は懇切丁寧だが、その分クソ長いので、読むのに疲れる。後続のために訳してみることにした。無保証。OAuth2 の部分は飛ばした。長いし。差し迫ったら訳します。 Devise Devise は Warden をベースにした Rails のためのフレキシブルな認証ソリューションです。 Rackベース Rails エンジンに基づいた完全な MVC ソリューション 1回の認証で複数のロールを持たせることができます あなたが必要な部分だけ使えるモジュラー構造というコンセプトに基づいています 以下の11のモジュールで構成されています: Database Authenticatable ユーザーがサインインする時に認証するためにパスワードをデータベースに暗号化し保存します。この認証は POST リクエストまたはBasic認証を通して行われます。 Token Authenti
Twitter
esa.ioの育て方
Ruby Business Users Conference 2018 2018-02-23 (Fri) 14:00 - 17:00 http://www.ruby.or.jp/rbuc2018/ https://rubyassociation.doorkeeper.jp/events/69247
OpauthはPHP向けの認証ライブラリです。抽象化することで多様なプロバイダーに容易に対応できます。 Webサービスで認証を用意すると言っても今は多様な技術が存在します。単なるID/パスワードに限らず、OpenIDやOAuthもあります。サービスプロバイダーごとに実装も若干変わったりします。そうした認証技術を統合して使えるのがOpauthです。 デモです。 Facebook認証です。 問題なく認証できました。各種データも取得できているのが分かります。 こちらはGoogle認証です。 こちらもユーザプロフィール含めて取得できています。 最後はTwitterです。 はい、問題ありません! OpauthはRubyの認証ライブラリOmniauthにインスパイアされて作られており、認証部分を抽象化することでプロバイダーを切り替えて容易に様々なサービスに対応できるようになっています。技術的にはOpe
OAuthにおける認可コード横取り攻撃とその対策 Jul 5, 2021 前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を確認した。 要約 OAuth 2.0の拡張機能であるPKCEを導入することで認可コード横取り攻撃を無効化できる。OAuth 2.0の仕様では、認可サーバーはネイティブアプリをクライアント認証できない。そのため、認可サーバーは認可コードを横取りした不正アプリと正規アプリを識別できない。しかし、PKCEの仕組みにより認可サーバーは正規アプリを識別できるようになり、認可コード横取り攻撃の検知が可能となる。 ネイティブア
Googleカレンダーを携帯電話から完全管理 TAKE24/7
このドメインは お名前.com から取得されました。 お名前.com は GMOインターネットグループ(株) が運営する国内シェアNo.1のドメイン登録サービスです。 ※表示価格は、全て税込です。 ※サービス品質維持のため、一時的に対象となる料金へ一定割合の「サービス維持調整費」を加算させていただきます。 ※1 「国内シェア」は、ICANN(インターネットのドメイン名などの資源を管理する非営利団体)の公表数値をもとに集計。gTLDが集計の対象。 日本のドメイン登録業者(レジストラ)(「ICANNがレジストラとして認定した企業」一覧(InterNIC提供)内に「Japan」の記載があるもの)を対象。 レジストラ「GMO Internet Group, Inc. d/b/a Onamae.com」のシェア値を集計。 2023年5月時点の調査。
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Big Sky :: ログイン認証をマイクロサービス化する「loginsrv」
livedoor Techブログ : 住所正規化APIをロケタッチでリリースしたよ!1
TechCrunch | Startup and Technology News
JavaScriptでオブジェクト志向的に、MVC的に書く - 憧れ駆動開発
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
Androidアプリから情報流出の恐れ、99.7%の端末に影響
Twitter REST APIの使い方
TwitterのbotをOAuthに対応させる - しばそんノート
Instagram APIでwebサービスを作りたい全ての人に向けて書きました
Yahoo!知恵袋に質問や回答を投稿できるAPIを公開しました
tweeter.jp - このウェブサイトは販売用です! - tweeter リソースおよび情報
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
これからの Microservices
よりよくわかる認証と認可 | DevelopersIO
もう面倒なユーザ認証機能は1から作らなくてよいかも?PHPのOSS「AuthManager」:phpspot開発日誌
TechCrunch | Startup and Technology News
一番分かりやすい OpenID Connect の説明 - Qiita
Twitter api ver1.1、痛いところ、痛くないところ
Basic認証とOAuth - Qiita
マイクロサービスにおける内部通信の認証について
HTTPS でも Full URL が漏れる?OAuth の code も漏れるんじゃね?? - OAuth.jp
nginx で omniauth を利用してアクセス制御を行う - クックパッド開発者ブログ
http://www.machu.jp/posts/20090801/p01/
多彩なフレームワークに対応したPHP向け認証ライブラリ·Opauth MOONGIFT
OAuthにおける認可コード横取り攻撃とその対策