JavaScriptベースのOAuth認証ライブラリ「hello.js」:phpspot開発日誌
hello.js - Javascript API for OAuth2 authentication and REST services JavaScriptベースのOAuth認証ライブラリ「hello.js」。 JSベースでログイン、ログアウトが可能で、ユーザ情報なんかも簡単に引っ張ってこれるようです。 関連エントリ PHPでOAuthサーバを作成するチュートリアル Twitter OAuth認証をポップアップで行うjQueryプラグイン PHPフレームワークにTwitter,Facebook等の認証を速攻実装できる「Opauth」 MicrosoftのLive OAuthで認証するPHPサンプル
PHP Master | Creating a PHP OAuth Server
If you’ve ever integrated with another API that requires security (such as Twitter), you’ve probably consumed an OAuth service. In this article, I’ll explore what it takes to create your own three-legged OAuth server allowing you, for example, to create your own secure API which you can release publicly. When dealing with OAuth, you will typically see it implemented as a two-legged or three-legged
REST API/REST APIについて - MySpace Open Platform
最新の投稿は、投稿日時: 01-29-2009 10:02 午後 投稿者: MySpace Japan Developer Team です。スレッドには 0 件の返答があります。 原文:http://developer.myspace.com/community/myspace/dataavailability.aspxRESTful APIの紹介 RESTful APIはHTTPリクエストによってネットワーク上のリソースを呼び出し、レスポンスとしてXMLドキュメントを受信します。 MySpace Developer Platform(MDP)はRESTful APIを提供し、サーバ間通信による、アプリケーションインストール済みユーザーの情報取得を可能にします。 このAPIは、アプリケーションに対する必要なアクセス権がユーザーに与えられていればユーザーデータの変更を許可し、フレンドア
Tender Surrender » OAuthの署名方式を掘り下げる
当ブログでこれまで何度かOpenSocialに絡んだOAuthについて取り上げてきましたが、MySpaceを参考にしていたため、署名方式としてHMAC-SHA1のみを対象にしてきました。しかしShindigを掘り下げる上でRSA-SHA1を避けて通ることはできず、むしろこちらについても十分な知識を得ていないとなかなか先に進めないことが分かりましたので、この機会にまとめてみます。(OpenSocialをある程度前提にしていますが、署名の話はOpenSocialに限らないものです。) 署名とは何か ITの世界で署名とは、問い合わせ元がその人であることを証明するための手段、と言えます。OAuthだと、コンシューマがサービスプロバイダに対して、名乗っている通りの者であることを証明することを意味します。これは、「自分」もしくは「相手と自分」にしか分からないものをリクエストに付け加えて送ることで実現さ
Tender Surrender » Data AvailabilityでOAuthを試す
前エントリでの予告通り、実際にサーバーサイドでコードを書き、MySpaceのData Availabilityを使ってOAuthを試してみます。Data Availabilityという名前は大げさに聞こえるかもしれませんが、実際はOpenSocial RESTful APIです。ちなみにData AvailabilityではまだJSON形式のみのサポートで、AtomPubには対応していません(しかも404が返ってくる。これに相当ハマった○| ̄|_)。 今回はOAuthを使って認証・認可を取得し、Data Availability APIを叩くところまでを解説します。 下準備 まずはサンドボックス環境にMySpaceにアプリを作ってください。細かい手順が分からない方はこの辺を参考にしてください。 MySpaceではガジェットアプリも外部アプリも同じように扱われるようです。 Edit Deta
Tender Surrender » MySpaceのRESTful APIでOAuth認証を試してみる
MySpaceで公開されているMDP(MySpace Developer Platform)には、OpenSocialだけでなく独自のRESTful APIも含まれており、これを使うことでサーバーサイドにアプリケーションを作ることもできるようになっています。今回は、MDPのRESTful APIのOAuth認証にフォーカスを当ててみます。 OpenSocial/MDPのOAuthについて OAuthとは、ユーザーとユーザーが利用したいサービス(以後サービスプロバイダ)を仲介するOpenSocial等のコンテナ(以後コンシューマ)が、サービスプロバイダの認証情報を知ることなくAPIを操ることを可能にする、認可のためのプロトコルです。 例えばユーザーがコンシューマ上でサービスプロバイダのアプリを利用しようとすると、サービスプロバイダのドメイン上にある認証画面にリダイレクトされ、ユーザーが許可を
APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
Tender Surrender » OpenSocialのOAuthまとめ
OpenSocialでは、コンテナが外部サーバーとの通信を行う際、または外部サーバーがコンテナと通信を行う際、OAuthを使用して認可を行います。今回はOpenSocialにおけるOAuthについて、現段階でのまとめを書いてみます。 ※追記(2008/10/20):2008/10/4に書いたコチラの記事も必読です。 OAuthって何だったっけ? OAuthはユーザー、コンシューマ、サービスプロバイダの3者間でデータのやり取りを行うとした場合、ユーザーがコンシューマにクレデンシャル(IDやパスワード)を渡すことなく、ユーザーが所有するサービスプロバイダ上のリソースにコンシューマをアクセスさせるためのものです。 例えばユーザーがGoogle(サービスプロバイダ)のアドレス帳(リソース)をMySpace(コンシューマ)上で利用するシーンを思い浮かべてください。OAuthがなければ、MySpace
署名付きリクエストの検証 - mixiアプリ
この記事では、署名付きリクエストをどのように検証するかを説明します。もしあなたが署名付きリクエストとは何かわからない場合や、なぜこれを使わなければならないのかわからない場合は、署名付きリクエストの紹介ページをチェックしてください。 ※ このページの内容は、「Validating Signed Requests」の翻訳に一部修正を加えたものです。 暗号化キーを入手する 署名付きリクエストは、現在3つのパラメータを含みます。 oauth_consumer_key xoauth_signature_publickey oauth_signature_method oauth_consumer_keyパラメータは、リクエストが送信されたコンテナを示します。oauth_signature_methodパラメータは、リクエストを署名するために使われたメソッドを示します。RSA-SHA1で署名されたリク
2-legged OAuthによるAPIアクセス - mixiアプリ
OAuth Signatureの生成方法 RESTful APIの利用に必要なOAuth Signatureの生成方法を以下に説明します。 Signature Methodは、現在、HMAC-SHA1のみ対応しています。 まず、署名生成に必要なベース文字列を生成するために次の値を用意します。 HTTPリクエストメソッド(GETやPOSTなど) 実際にリクエストが送信されるAPI URL。クエリーパラメータは含めないようにします。 OAuthの処理に必要な各種パラメータを設定します。クエリーパラメータはこちらに含めます。パラメータの順序は、予めパラメータ名のアルファベット順にソートしておく必要があります。 例えば、下記のような値を用意します。 GET http://api-example.mixi.jp/people/@me/@self oauth_consumer_key=bc906fac
PHP で OAuth Consumer Request (2-legged OAuth) | Weboo! Returns.
ここで、 oauth_signature は以下のようにして生成されます。まず、ベース文字列を用意します。 GET http://api.gu3.jp/v1/test/auth oauth_consumer_key=yamashita.dyndns.org&oauth_nonce=c83b1847200 bd25d918c3fb077aca16f&oauth_signature_method=HMAC-SHA1& oauth_timestamp=1219931263&oauth_version=1.0 次にこれらをURIエスケープした後に & で連結して、ベース文字列を生成します。 GET&http%3A%2F%2Fapi.gu3.jp%2Fv1%2Ftest%2Fauth&oauth_consumer_key %3Dyamashita.dyndns.org%26oauth_nonce%3
OAuthの仕様について 〜署名?それっておいしいの?〜
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤裕介です。 OAuthを使ったアプリを実装している方の多くは特にパラメータの署名まわりの部分で少し詰まることが多いように見受けられます。署名はOAuthのキモとなる仕組みなので今回はこれに関する記事を書いてみようと思います。 署名の仕組み OAuth(以後OAuth Core)の仕様では、一般的な署名の仕組みを使ってリクエストの内容の改ざんや送信者のなりすましをされにくくしています。いまのところ以下の3つの署名方式に対応しています。 HMAC-SHA1 Service Provider(以後SP)側でConsumerkeyとSecret(秘密鍵)のペアをConsumerに発行し、APIリク
2-legged OAuthについて調べてみました - n3104のブログ
最近Google Apps ScriptでSitesにMLの一覧を表示するというのをやってまして、その中で2-legged OAuthが出てきたのでちゃんと調べようと思っていました。そして連休中にUsing 2-legged OAuth with the Google Tasks API for Google Apps domain administrators - Google Apps Developer Blogという記事に出会いまして、ちょっと調べてみました。 2-legged OAuth OAuthについてはJavaでTwitterのOAuthを書いてみました - n-3104の日記で調べていたのですが、要はユーザーIDとパスワードではなくトークンを利用して認証を行う仕組みです。そのOAuthにも2-legged OAuth(以下2LO)と3-legged OAuth(以下3LO
Pearでインストールできるサーバ側のOAuth認証ライブラリを作ってみる - よしだ’s diary
ここ数週間、合間を見てちまちま作ってた。 大体出来た。 パッケージ名は、HTTP_OAuthServer。(暫定) 機能 ・2legged OAuth認証。 ・リクエストトークン発行。(3legged OAuth) ・ユーザ認可。(3legged OAuth) ・アクセストークン交換。(3legged OAuth) ・保護されたリソースへのアクセス認証。(3legged OAuth) シグネチャ方式はHMAC-SHA1とRSA-SHA1。 目的 今後OAuth認証を使いやすくしたい。 Pearパッケージの作り方を知りたい。 PHP5っぽい書き方の練習。(InterfaceとかAbstractとか) ファイル群 HTTP/OAuthServer.php HTTP/OAuthServer/Core.php HTTP/OAuthServer/Signature.php HTTP/OAuthSer
TwitPic API v2で画像のアップロード: ふと思う--ちょっと考える (いたずら編)
Twitterの写真投稿先として一番使われているサイトは、TwitPicです。ここはTwitterのユーザであれば、TwitPicにユーザ登録すること無く写真を投稿できます。これは、Twitterのユーザ名とパスワードを本人確認をしているためです。 しかしどんなに魅力的なサービスであったとしても、ユーザにとってパスワードを登録することに躊躇します。そこで、Twitterを中心にパスワードがなくても本人確認できるOAuthという認証方式が策定されました。 外部サービスで本人確認をする方法 ユーザ確認で一番単純な方法は、パスワードです。パスワードが正しいければ、サービスを使おうとしている人が本人である認めます。OAuthは、パスワードの代わりにTwitterとサービスを提供するアプリだけが知っている秘密の鍵を使って確認します。では、外部サービスであるTwitPicは、どのようにユーザ確認をする
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
