OAuth2 :: Nodemailer
Send and receive emails easily with Outlook and Gmail using OAuth2. OAuth2 allows your application to store and use authentication tokens instead of actual login credentials. This is great for security as tokens or valid only for specific actions and can be easily revoked thus, once stolen, can’t to as much harm as actual account credentials. OAuth2 authentication in Nodemailer is mostly used with
node.js 上の nodemailer で OAuth 2.0 を使って gmail からメールを送る
how-to-use-gmail-from-node-js-with-nodemailer-and-oauth2.md node.js 上の nodemailer で OAuth 2.0 を使って gmail からメールを送る OAuth 2.0 のための ID を得る 目標:「ClientID」「Client secret」「Refresh token」を得る Google Developers Console へ登録 ホーム画面が出る とりあえずプロジェクトを作成する 名前は「My Project」のまま 左のメニューから「APIと認証」の下にある「認証情報」を選択 「OAuth 同意画面」タブを選択 「メールアドレス」は自分のアドレスのままにする 「サービス名」は「TEST APP」 下にある「保存」を押す ふたたび「認証情報」画面で「認証情報」タブを選択 「認証情報を追加」を押して
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
これから始めるAuth0 – ノンコーディングでサンプルアプリケーションを動かそう! #Auth0JP | DevelopersIO
サンプルアプリケーションの起動までをご紹介! ここ最近、弊社ではAuth0のハンズオンセミナーを月1回開催しております。毎回多くの方にご応募いただき、Auth0は昨今、注目度の高いサービスであると実感します。 ハンズオンセミナーでは、Auth0を初めて使う方向けに「アカウントの登録」から「サンプルアプリケーションの起動」までの手順をご紹介しております。せっかくなので、その手順をブログでご紹介します。 ノンコーディング で行えますので、エンジニアではない方もぜひ試してみてください! アカウントの登録 まずは以下のサイトにアクセスし、右上の「サインアップ」をクリックします。 https://auth0.com/jp/ サインアップは、以下の4つの方式から選びます。 Email / Passwordによる登録 GitHubアカウントの利用 Googleアカウントの利用 Microsoftアカウン
なぜOpenID Connectが必要となったのか、その歴史的背景
[参考情報] 【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ URL:https://qiita.com/kura_lab/items/812a62b5aa3427bdb49d タイトル: 『OpenID Connect 入門 〜コンシューマー領域におけるID連携のトレンド〜』 概要: コンシューマー領域におけるID連携のトレンドであるOpenID Connectの概要と仕様のポイントについてご紹介します。 OpenID TechNight Vol.13 - ID連携入門 Aug. 26, 2015 URL:https://openid.doorkeeper.jp/events/29487
OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife
おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しないことを推奨している バンコクで開かれた今週のIETF meetingで決定された ということらしいです。 Implicit grantといえば Token Replace Attack や Covert Redirect など、OAuth 2.0の脆弱性を語る上で欠かせない唯一無二の存在であります。 www.atmarkit.co.jp 私の中では最初から非推奨ですが、公式にとなると気になりますね。 策定中のドキュメントではどう
一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
iOSアプリにおけるOAuth連携の実装 - Qiita
拙作のiPhoneアプリShareAlbum (http://bit.ly/sharealbum_jp) ではOAuthを使ってInstagramやTumblrなど様々なWebサービスと連携しています。このTipsではOAuth認可・認証のWebサービスと連携するアプリケーションの実装についてGoogleのライブラリによる説明を書いています。 OAuth連携することでこんなアプリケーションも簡単に作れますよということです OAuth2.0について まずはOAuth2.0についてiOSアプリ開発者が知るべきことは下記の通りです 基本的にAPIの認可のためにアクセストークンを取得する アクセストークンはAPIのパラメータにセットしてリクエストを行う アクセストークン取得までのフローは複数あり、主に認可コードフローやインプリシットグラントフローが使われる iOSからはUIWebViewを用いてロ
RailsでいろんなSNSとOAuth連携/ログインする方法 - Qiita
Deviseというgemのomniauthableを利用して、いろんなOAuth提供元サービスと連携orそのサービスを用いたログインを実現する方法。 こういうことやりたい人結構いるんじゃないかと思って、Wantedlyで実際にやってみた経験を大公開!! Gemのインストール deviseと各providerのomniauth関連Gemをインストール gem 'devise' gem 'omniauth' gem 'omniauth-facebook' gem 'omniauth-github' gem 'omniauth-google-oauth2' gem 'omniauth-hatena' gem 'omniauth-linkedin' gem 'omniauth-mixi' gem 'omniauth-twitter' とりあえず、omniauth-'provider'でググって出て
はてなグループの終了日を2020年1月31日(金)に決定しました - はてなの告知
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Covert Redirect Vulnerability with OAuth 2
tl;dr Covert Redirect Vulnerability is a real, if not new, threat when combined with Implicit Grant Flow (not Code flow) This Covert Redirect Vulnerability in OAuth 2 is an interesting one. There’s a couple of defending arguments that this isn’t a flaw in OAuth itself. While I agree that it isn’t a flaw in the protocol, I think the threat is a real one, combined with a) a loose validation on redir
3分でスッキリ! Oauth 1.0図解とRuby Twitter bot開発 – Tech Diary Blog
OAuth1.0の仕組みからTwitterBotの開発まで自分用メモです。 FacebookやTwitterなどOAuthを利用したシステムは数年前から何度と実装しているのですが、OAuthの詳細な動きについてはそんなに毎回触れたりはせず(ライブラリがいいようにやってくれるので・・・)、たまに使うたびに仕様の再確認という感じなので、自分向けにちょっと内容を砕いて図解化。正確な仕様などはRFCなど公式ドキュメントを参照ください。 目次 OAuth1.0のざっくり解説 OAuth1.0とは? 3つの登場人物 OAuth1.0フロー RubyでTwitter bot作成 前準備(コンシューマー登録〜アクセストークン取得) Ruby環境構築 Ruby実装 対象 RubyでTwitter Botを作ってみたい人。 OAuth1.0を(ざっくりと)理解したい人。 OAuth1.0は学んだけど、Twit
Yellow Cheer
Recent Appeals bikki said: "二日酔い" sato_ryu said: "最後の修正が終了。きっとこれでいけるはず。" sato_ryu said: "ついにテックカンファ当日。やれるだけのことをやらかします!" mmyasuko said: "あつさに耐える" mmyasuko said: "あつい" mumoshu said: "Scala Compiler Plugin作ってみたい" tsuka said: "とりあえず今はこのまま走るしかないけど、一段落したらspec完備して3.0.xまで一気に上げるよ!" nahi_ja said: "Hello, Yellow Cheer!" PSTY said: "いまだ、これの使い方がよくわかってなかったりする。" sato_ryu said: "今更herokuにしておけば良かったなんて言わない。なぜならJRu
Twitter の OAuth 許可ページがあまりにも酷い => 応急処置 - mooz deceives you
OAuth の Read と Write 先日, ツイート君に会話をまとめてもらい, 大変嫌な思いをした. Twitter の OAuth には Read 権限と Write 権限があって, Write 権限があると つぶやく 誰かをフォローする 誰かをリムーブする などのことが行えてしまう. つまり, Write 権限を要求するアプリケーションを許可することは, 「このアプリケーションが私のアカウントを使って勝手に変なことをつぶやいたり, 勝手に誰かをフォローしたり, 勝手に誰かをリムーブしても文句は言いませんよ」ということに等しい. さて, それでは OAuth の権限付与画面を見てみよう. ここでは冒頭に上げたツイート君が権限をこちらに要求してきている. では, いったい何の権限を要求してきているのだろうか. Read なのだろうか. それとも Write なのだろうか. 答えは R
高密度小池 / OAuth とかについて
OAuth とかについて なんかいろいろ理解してない人がいるように見えるので。 あるサービスでのリソースに対するアクセス権をデスクトップアプリケーションなり Web アプリケーションなりに移譲する時に、一番簡単な方法は ID と PW をそのまま渡してしまう方法。 twitter では従来これが用いられてきた。 twitter の情報なんて大したことないから、 ID/PW 流出しても問題ないよね、というような論調比較的よく見ます。こういうこと言うのは迷惑。死んでください。 twitter と他のサービスで ID/PW を分けている人がいったいどれくらいいるのか。多数派ということは無いと思います(根拠無い推測だけど間違ってないと思う)。 twitter で使っている ID/PW が流出すれば様々な悲劇が起きます。 一次流出もとは他のサービスですが、これによって悲劇が起きた事例と
OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
