タグ

OAuthとoauthに関するse-miのブックマーク (71)

  • mixiへの認証を行ってくれる「OmniAuth-mixi」を公開しました - mixi engineer blog

    こんにちは。よういちろうです。Ruby on RailsやSinatraで作るWebアプリケーションに各種認証機能を手軽に追加できる機構として、「OmniAuthシリーズ」があります。これのmixi版を作ってみました。 OmniAuth-mixi - Github OmniAuthは、Strategyという形式で任意の認証プロバイダの実装を追加できるようになっています。OmniAuth-mixiを使うことで、OAuth2にてmixi Graph APIの認証認可を行い、People APIで認可ユーザのプロフィール情報を取得する、という処理を行ってくれます。 使い方は簡単です。Ruby on Railsの場合、まずGemfileに以下を追記します。 gem 'omniauth-mixi' 次に、config/initializers/omniauth.rbファイルを以下の内容で作成します。

    se-mi
    se-mi 2012/12/04
    いいな
  • 「OAuth」の基本動作を知る

    デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット

    「OAuth」の基本動作を知る
    se-mi
    se-mi 2012/08/28
  • OAuth 2.0を使うソーシャルなAndroidアプリの作り方 (1/3) - @IT

    ネイティブアプリで実践! mixi Graph API活用法 OAuth 2.0を使う ソーシャルなAndroidアプリの作り方 株式会社ミクシィ システム技術部 たんぽぽグループ 藤崎 友樹 プラットフォームサービス開発部 鶴原 翔夢 2011/3/30 最近よく耳にする「OAuth」とは、mixi、Facebook、Twitterなどの外部サービスと自アプリケーションを連携するための技術です。 「クラウド」「ソーシャル」というキーワードが叫ばれている昨今では、こういった連携をいかにうまく行うかということがユーザー体験を向上させる鍵となります。 特に「ソーシャル」を取り入れることは以下のような点でメリットがあると考えられます。 ユーザーのソーシャルグラフを活用して、アプリをバイラル・マーケティングできる 現実の人間関係をベースにしたユーザー体験(UX)を提供し、継続的にアプリを使っ

    se-mi
    se-mi 2011/03/30
  • 認可のためのプロトコルのOAuthが認証に使えることの説明

    最近、「Facebookのことが分からないので教えてください」とよく頼まれます。ごめんなさい、嘘を言いました。よく、は頼まれません。よくある、とか、しばしばある、は実体以上に良く見せようとする時に使う常套句です。気をつけて使おうと思います。 それはともかくとして。 Facebookは確かに難しいです。REST API(名前がRESTですがまったくRESTfulではないWeb API)からGraph APIへの変遷、FBMLからXFBML(参照)への変遷、そしてXFBMLの存在を隠蔽するプラグインへの変遷、更に今をときめくLikeボタンからDislikeボタン()への変遷、など諸々まとめて、「Facebook vs. OpenSocial」のお題で社内勉強会をしようと思っています。 しかし内容が多すぎるので、これらの技術の中で基盤となるOAuth 2.0(まだドラフト段階です)を取り出して、

    se-mi
    se-mi 2011/02/06
  • OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT

    OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ

    se-mi
    se-mi 2011/02/02
  • Titaniumで簡単にmixi Graph APIを使う方法 - Nobody is perfect.

    mixiGraphAPIって? iPhoneAndroidといった外部環境からOAuth認証をへてmixiの機能を利用することができるようになるものです。 例えばボイスの一覧の取得・投稿、フォトの投稿・閲覧といった機能を利用したアプリケーションを構築できます。 http://developer.mixi.co.jp/connect/mixi_graph_api 個人開発者でも利用可能になったみたい! http://developer.mixi.co.jp/news/news_platform/12028 用意するもの Developer登録とアプリケーションの設定 ConsumerKey ConsumerSecret RedirectURI https://sap.mixi.jp/connect_consumer.pl 利用したいスコープを調べる 利用したい権限を絞る、選択することが出来

    Titaniumで簡単にmixi Graph APIを使う方法 - Nobody is perfect.
  • OAuth Request Body HashをつかうためにOAuthクライアントを実装してみた時のメモ

    OAuth Request Body Hashとは、OAuthの拡張仕様の一つです。 OAuth Coreではapplication/x-www-form-urlencodedなリクエストに対してのみ正当性を保証します。そのためPOSTでXMLを送信したいときなどには別の手段が必要になります。OAuth Request Body Hashは、そのようなnon-form-encodedなリクエストボディに対する正当性を保証するための仕組みです。 詳細は下記をどうぞ。 http://oauth.googlecode.com/svn/spec/ext/body_hash/1.0/oauth-bodyhash.html (oauth body hashでググるとドラフトがトップに出るようですが(2010-04-17現在)、Finalバージョンはすでにあがっているようです) YahooTech B

    se-mi
    se-mi 2010/09/21
  • OpenpearでHTTP_OAuthConsumerを公開してみた - よしだ’s diary

    公開した。 HTTP_OAuthConsumer - Openpear http://openpear.org/package/HTTP_OAuthConsumer Revision 1978: /HTTP_OAuthConsumer/trunk http://svn.openpear.org/HTTP_OAuthConsumer/trunk/ 機能 HTTP_OAuthとの主な違いは、シグネチャ方式に、HMAC-SHA1だけじゃなく、RSA-SHA1にも対応してる所。 需要があるかどうかは解らないけど。 HTTPリクエストには、HTTP_Request2を使った。 というか、継承した。 だからほぼ1から書き直しになってしまった…。 あんまりテストしてないからバグあるかも…? HTTP_Request2はGETパラメータを扱いにくい。 addPostParameter()っぽい感じでadd

    OpenpearでHTTP_OAuthConsumerを公開してみた - よしだ’s diary
  • tzmtk / OAuthCore10JP

    OAuth Core 1.0 日語訳 注意:OAuth Core 1.0の仕様でセキュリティ上の問題が発覚し、2009年7月22日現在最新版の仕様は「OAuth Core 1.0 Revision A」(http://oauth.net/core/1.0a)になっています。最新版の仕様をご利用ください。 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サ Service Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI 経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレ

    se-mi
    se-mi 2010/07/22
    OAuthCore1.0日本語訳。助かる
  • OAuth.jp

    いままで Mix-up Attack は Client が AS 毎に redirect_uri を使い分けていれば防げると信じられてきましたが、それじゃ防げないケースもあるよってのが OAuth ML に投稿されました。 細かい解説は英語読んでもらうとして、シーケンスにするとこういうことです。 Attacker AS が (Display Name やロゴ等を通じて) 一見 Honest Client に見えるような Client (Attacker Client) を Honest AS に登録しておく必要があります。 User が Attacker AS 選んでるのに Honest AS に飛んで Approve してしまってる部分も、Attacker Proxy が利用可能な状況 (e.g., Client が HTTP なエンドポイントで Honest AS のログインボタン等を

    se-mi
    se-mi 2010/07/05
  • Twitterの連携アプリを「許可する」ボタンのリスク - Zerobase Journal

    TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ

  • Androidメモ

    OAuthによるTwitter通信を行うプログラムを作成する。 アプリの登録 Twitterの連携アプリの登録ページでアプリの登録を行う。 アプリケーションの種類は「ブラウザアプリ」、コールバックURLには適当なURLを記述。 インテントでWebブラウザを開いて認証を行い、証明書となるトークンを元のアクティビティに戻してもらうため。 consumerKeyとconsumerSecretを取得し、ソースコードに記述。 ライブラリの追加 オープンソースライブラリ「oauth-signpost」を使用する。 「signpost-core-1.2.1.1.jar」と「signpost-commonshttp4-1.2.1.1.jar」をダウンロードしてパスを通す。ライブラリの追加方法は「Package Explorerのプロジェクト名を右クリック→Properties→Java Bu

    se-mi
    se-mi 2010/06/01
    サンプル
  • OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記

    「おーおーっすっ!」 てなこって、TwitterAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー

    OAuthプロトコルの中身をざっくり解説してみるよ - ( ꒪⌓꒪) ゆるよろ日記
    se-mi
    se-mi 2010/05/06
    絵が
  • Gmail™×mixi連携スタート!の件について - mixi engineer blog

    (いわゆる宣伝エントリーなので余裕のある方はお読みください) お世話になっております。ソーシャルグラフ開発チーム asannou です。 「Gmailとmixiがつながりました」ということで、Gmail™のアドレス帳(連絡先)からマイミクシィを追加したり、友人をmixiに招待したりできるようになりました。以前から、メールアドレスでマイミク登録という機能がありますが、ここにアドレス帳のメールアドレスを一個ずつコピペするかわりに、まとめてインポートしてサクサクとマイミク申請&招待できるようになるイメージですね。 今回は技術的な部分のご紹介をさせていただきたいと思います。 アクセス権限を委譲する 機能では、Gmail™のアドレス帳をインポートする際に、OAuthという仕組みを利用してアクセスをおこなっているので、mixiに、Googleアカウントのユーザー名とパスワードを入力する必要がなく、G

    Gmail™×mixi連携スタート!の件について - mixi engineer blog
  • The OAuth 1.0 Protocol

    The OAuth 1.0 Protocol draft-hammer-oauth-10 Abstract OAuth は、リソースオーナー (別のクライアントやエンドユーザー) に代わって、サーバーリソースにアクセスするための方法を、クライアントに提供するものである。また、リダイレクトを利用することで、エンドユーザーはクライアントにユーザ名やパスワードを共有することなく、サーバーリソースへの第三者アクセスを認可することができる。 Status of this Memo This Internet-Draft is submitted in full conformance with the provisions of BCP 78 and BCP 79. Internet-Drafts are working documents of the Internet Engineering T

    se-mi
    se-mi 2010/04/04
  • OpenID v.s. OAuth

    巷間よくOpenIDは認証、OAuthは認可というようなことが言われる。もともとは、アメリカのOAuth関係者が言い始めたことである。 もちろん間違いである。 これは、OpenIDとOAuthのシーケンス、特に OpenID の Artifact Binding と OAuth のを比べてみるとよくわかる。すぐ分かるように、これらはほとんど同じである。違いは、 OAuth では、Consumer Key と Consumer Secret を取得する。OpenIDでは、Consumer Key にあたるのは realm, Consumer Secret にあたるものは、Association として、動的取得される。 OAuth で使う Identity は、当該 Service Provider にユーザーが登録した Identity である。OpenIDでは、ユーザーが選んだ Iden

    OpenID v.s. OAuth
    se-mi
    se-mi 2010/04/02
    よく言われる認証と認可は誤りとのこと
  • OAuthの仕様について 〜署名?それっておいしいの?〜

    ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤裕介です。 OAuthを使ったアプリを実装している方の多くは特にパラメータの署名まわりの部分で少し詰まることが多いように見受けられます。署名はOAuthのキモとなる仕組みなので今回はこれに関する記事を書いてみようと思います。 署名の仕組み OAuth(以後OAuth Core)の仕様では、一般的な署名の仕組みを使ってリクエストの内容の改ざんや送信者のなりすましをされにくくしています。いまのところ以下の3つの署名方式に対応しています。 HMAC-SHA1 Service Provider(以後SP)側でConsumerkeyとSecret(秘密鍵)のペアをConsumerに発行し、APIリク

    OAuthの仕様について 〜署名?それっておいしいの?〜
    se-mi
    se-mi 2010/03/15
  • ウノウラボ Unoh Labs: PECL::oauthでxAuth

    yamaokaです。 TwitterのBasic認証によるユーザー認証が6月に廃止されるようですね。 認証はOAuthで行ってください、とのことなのですが OAuthの認証画面を表示するためにブラウザを起動するのがふさわしくないケースや、 そもそも貧弱なブラウザでうまく利用できないケースもあります。 そうした場合の解決方法として、xAuthという仕組みがTwitterに実装されています。 詳しくは次に紹介するweb上の記事を参照してください。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin' In The Free World the.hackerConundrum: Sneak peek at Twitter's browserless OAuth creden

    se-mi
    se-mi 2010/02/25
  • デスクトップTwitterクライアントアプリでOAuthを使うことの問題点? - すぎゃーんメモ

    発端 [連絡] Termtter の OAuth 機能は廃止の予定 - セキュリティ的な理由から #termtter @jugyo OAuthあまり良くわかっていないですがどういったことが問題になるのでしょうか? >< @sugyan Termtter のようなアプリの場合、ユーザーのPCに consumer key 等を置かざるを得なくて、それを使えば誰でも Termtter に成り済ませるんですよね #termtter @sugyan consumer key と consumer key secret を安全に保持する方法が思いつかなかったので OAuth はあきらめることにしました #termtter これ、どんな問題があるかなぁ RT @jugyo: @sugyan Termtter のようなアプリの場合、ユーザーのPCに consumer key 等を置かざるを得なくて、それを

    デスクトップTwitterクライアントアプリでOAuthを使うことの問題点? - すぎゃーんメモ
    se-mi
    se-mi 2009/10/26
  • twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。

    忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",

    twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
    se-mi
    se-mi 2009/09/19
    うっはこれはひどい