Securing ASP.NET Web API endpoints - Using OWIN, OAuth 2.0 and Claims - blog.
Post published:September 25, 2014 Post Author:Per Ökvist Post Category:.Net Post Comments:8 Comments In this post we’re going to create some simple endpoints using ASP.NET Web API, OWIN and OAuth 2.0. To secure Controller endpoints we are using a custom claims attribute. We will issue a JSON Web Token, JWT, containing claims, that the client will use when calling the API. OAuth 2.0 specifies four
アクセストークンに有効期限を設けるべきかどうか - Qiita
OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3ではアクセストークンに有効期限を設けていない。この投稿では、アクセストークンの有効期限に関係して起こり得る問題を取り上げる。 アクセストークンに有効期限を持たせておくとちょっと安全 アクセストークンが悪意のある第三者に漏洩してしまった場合、そのアクセストークンに認可されているあらゆる操作が実行可能になってしまうという問題がまず存在する。ここでもしアクセストークンに有効期限が存在していたとすれば、その操
RubyでGoogleDrive APIを使用するためにアクセストークンを取得する | tagamidaiki.com
RubyのGoogleDrive Gemを使ってGoogleDriveをさわろうとしたところ、OAuthの認証でつまづいたのでそのメモします。 OAuth2.0の流れはこんな感じです。 ClientIDとClientSecretを発行する 認証する アクセストークンを取得する リフレッシュトークンからアクセストークンを再取得する GoogleDrive gemを使ってみる ClientIDとClientSecretを発行する まずはプロジェクトを作成します。 https://cloud.google.com/console/project APIsから「Drive API」と「Drive SDK」をONにします。 「Credentials」から「CREATE NEW CLIENT ID」から今回のプログラムで使う必要項目を取得します。 以上のような項目を選択 これでClientIDとCli
Windows7 + Ruby + google-api-clientで、GoogleAPI向けOAuth認証用のYAMLファイルを取得する - メモ的な思考的な
Windows7でRubyを使ってコマンドラインからGoogleAPIを叩くために、OAuth認証で使用するClientIDやClientSecret・トークンが記載されているYAMLファイルを取得しようとしたところ、いろいろとハマったためメモを残します。 環境 Windows7 SP1 ruby 2.0.0p353 (2013-11-22) [i386-mingw32] google-api-client 0.6.4 Google Calendar API を使用 Google Cloud Console での設定 GoogleAPIを使用するための設定画面は、今までのGoogle API Consoleから、Google Cloud Consoleへと変更になっているため、以下のURLより行います。 https://cloud.google.com/console#/project 流
DotNetOpenAuth - OpenID, OAuth, and InfoCard for .NET
Features Compiled library that adds support for your site visitors to login with their OpenIDs by just dropping an ASP.NET control onto your page. It's that easy. An AJAX-style OpenID Selector control is also included for a slick, streamlined user experience. Give your site members their own OpenIDs with the provider support included in this library. Sample relying party and provider web sites sho
Web API認証について
最近、Web APIの認証をどうすべきか考えている。 例えば次のようなケースをどうするか。 「既存のWebサイトがあり、既にユーザIDとパスワードによる認証によって、ブラウザでデータを提供している。 今回、この提供データをブラウザの画面ではなく、REST APIにて取得可能にしたい。 このデータはユーザ毎に取得可能な値が違うので、認証、または認可によって制限をかけたい。」 ユーザーがブラウザからIDとパスワード(以下ID/PW)を使ってログインする方式を、そのままWeb APIにも適用しても安全なのだろうか。 Web APIの先にはスマホアプリやシェルスクリプトなどから直接ログインするものなどが考えられるが、安全かつシンプルに実装するにはどうしたらいいのだろうか。 私はセキュリティの専門家ではないので間違った考え方をしている可能性もあるが、誰かの目に留まって助言いただけるかもしれないので、
認可のためのプロトコルのOAuthが認証に使えることの説明
最近、「Facebookのことが分からないので教えてください」とよく頼まれます。ごめんなさい、嘘を言いました。よく、は頼まれません。よくある、とか、しばしばある、は実体以上に良く見せようとする時に使う常套句です。気をつけて使おうと思います。 それはともかくとして。 Facebookは確かに難しいです。REST API(名前がRESTですがまったくRESTfulではないWeb API)からGraph APIへの変遷、FBMLからXFBML(参照)への変遷、そしてXFBMLの存在を隠蔽するプラグインへの変遷、更に今をときめくLikeボタンからDislikeボタン()への変遷、など諸々まとめて、「Facebook vs. OpenSocial」のお題で社内勉強会をしようと思っています。 しかし内容が多すぎるので、これらの技術の中で基盤となるOAuth 2.0(まだドラフト段階です)を取り出して、
Google グループ
Google グループでは、オンライン フォーラムやメール ベースのグループを作成したり、こうしたフォーラムやグループに参加したりすることで、大勢のユーザーと情報の共有やディスカッションを行うことができます。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OWIN and Katana
OAuth2.0 Framework In ASP.NET Web API
http://sig-sc.org/file/20120119/saito_talk20120119.pdf