単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
FacebookのOAuthを使うサンプルアプリ (Rails) - OAuth.jp
@nov です。 自分で作ってる fb_graph という Facebook Graph API の Ruby ライブラリを OAuth 対応したついでに、Railsでサンプルアプリを作りました。 デモサイトはこちら。 ソースコードはこちら。 ソースコード内には localhost:3000 で使える API Key&Secret も埋め込んであるので、特に Facebook にアプリ登録しなくても動きます。(localhost:3000 以外で動かす場合は自分でアプリ登録してください) いまのところRailsのバージョンは3.0.0.RCです。 app/models/facebook.rb と app/controllers/facebooks_controller.rb を見れば、Facebook 独自の JavaScript SDK と通常の OAuth2 の Web Server
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
第4回 OAuth Service Providerの実装 | gihyo.jp
最終回となる今回は、OAuth Service Providerの実装方法について、手順を追って解説します。 OAuth Service Providerがすべきこと OAuth連載最終回は、OAuth Service Providerの実装を行います。Service Providerの役割は、大きく以下の3つに分けられます。 OAuth Consumerの管理 OAuth Request / Access Tokenの管理 OAuth経由のリソースへのアクセス管理 Rails OAuth Pluginを用いたOAuth Service Providerの実装 Railsではruby-oauth gemとOAuth Pluginを用いることで、簡単にOAuth Service Providerを実装することができます。以下実装手順です。 ruby-oauth gemのインストール(まだの場
twitterでOAuthを使う方法(その1:認証まで) - てっく☆ゆきろぐ
FreeBSD、MacOSX、Webアプリ系、RDBMS(PostgreSQL)などの話題が中心になるかと思います。 OAuthって結構難しいと思われてるようですが、難しいというよりは、『ややこしい』です(苦笑) そんなわけで。 手順毎に順番に説明をしようと思います。 ※2009/09/23 説明の図(手書きでごめんなさい)追加しました。 ●語句の説明 ・サービスプロバイダ(service provider)・・・サービスを提供しているところ。この場合、twitter。 ・ユーザ(user)・・・サービスプロバイダに登録していて、そのサービスを利用している人。 ・コンシューマ(consumer)・・・サービスを提供しているところに、ユーザにかわって、そのサービスに対してアクセスする第三者。サードパーティ、とでも言うべきでしょうか。要は、この記事を見て「何か作ってみたい」という、あなたです。
say hello to OAuth: Twitter x Rails - とある技術の備忘録
Ruby現在Railsで製作中のtwinote http://gakuweb.com/twinote にtwitterログイン機能を実装したい。OAuth実装の仕組み登場人物は、Consumer(=Railsアプリ)、Twitter、Userの3者。 Consumerは、TwitterからRequestTokenを取得 Consumerは、UserにRequestTokenを渡しそれを持たせたままTwitterの認証画面へリダイレクト Userは、Twitterの認証画面でConsumerに自分の権限を渡すかどうかを選択(Allowしたものとする) Consumerは、TwitterにRequestTokenを渡すTwitterは、Consumerから渡されたRequestTokenがUserによってAllow済みかどうかチェックするTwitterは、引き換えにAccessTokenを渡す
フォアフロント日記 RubyのTwitterClientで任意のアプリケーション名を表示する方法|お客様が儲かるWebサイトを提供する会社【フォアフロント】
RubyのTwitterClientでクライアントアプリケーション名 (Tweenとかtwhirlとか)を表示したかったので調査しました。 方法は色んなサイトに既に書かれているのですが callbackするしないでよくわからなかった部分を整理してみました。 OAuthの仕組みなどはここでは書きません。 昔はメールで申請すればアプリケーション名を登録して貰えたみたいですが 最近は (1)Twitterアプリケーション登録画面から登録 (2)OAuthの認証を通す (3)OAuth認証後のTwitterAPIでstatusのPOST アプリケーション名が表示できるようになってました。 以下実際に表示するまでの流れです。 (1)Twitterアプリケーション登録 ここ→ http://twitter.com/oauth_clients からTwi
Building OAuth Compliant Twitter Related Apps in Ruby (with Rails or Sinatra)
Ruby Weekly is a weekly newsletter covering the latest Ruby and Rails news. Twitter - the lifestreaming-meets-microblogging social site - has exploded in the last year and lots of applications have been developed that can take advantage of Twitter accounts. The downside is that many have required users to put their own Twitter username and password credentials into the third party apps.. a securit
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://memo.moongift.jp/2013/05/17839
GitHub - hatena/titanium-hatena-oauth-sample
Oauth-plugin | AgileWebDevelopment
jamboree.jp
GitHub - flyerhzm/twitter_connect: facebook connect style twitter oauth
jugyo.org
WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)