単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
初心者のためのOAuth — OAuthの基本のキ
FacebookやTwitterをはじめ、mixiやLinkedInでも使用されているAPIへの接続の基本とも言えるOAuth。ソーシャルメディアを活用したウェブサービスを構築するには、OAuthをしっかり理解しておいたほうが良さそうです。そこで、今回はOAuthについての基本情報をまとめてみました。実装作業に入る前の予備知識として知っておくと開発が早く進むと思います。 OAuthをひとことで言うと 「ユーザがとあるサービスAにサービスBを経由して安全に接続するための認証手段」といえば分かるでしょうか。これによって、ユーザはサービスAで使用しているユーザ名やパスワードを、第3者であるサービスBに明かさずに安全に接続できるようになるわけです。 たとえば、このブログのユーザはTwitter(サービスA)にこのサイト(サービスB)を経由して安全につぶやきを投稿できるようになるわけです。その際、こ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
