OAuthで「記名式」トークンを使うもう一つの方法
みなさまご無沙汰しております。 毎年、4月1日には、ジョークだけど実は使えるかもな規格を書こうとしているのですが、今年も書けずにいつの間にやら4月も3分の1が過ぎてしまいました。結局のところ、今年は何に忙しくしていたかというと、OAuthで「記名式」トークンを使う方法を規格化しようとしていて時間が経ってしまいました。 「記名式」って何のことやらと思いますよね?説明しましょう。 通常のOAuthのトークンは「ベアラ(bearer)・トークン」と言います。ベアラ(bearer)とは、「bear (持ってきた)+ er(人)」ですので、「持参人」となります。トークンも日本では馴染みのない単語ですが、これは「切符」のことです。昔の地下鉄などでは、切符の代わりに「トークン」というコインを改札機に入れて通過していました。今でもトロントの地下鉄などはそうです。ですから、ベアラ・トークンと言うと難しく感じ
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
