OpenID Connectはそんなに大変かね? - OAuth.jp
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る – Qiita ってのになんかフォローアップしろよ的なのが来たので。 ざっと読んだ感想としては、「OpenID Connect の OPTIONAL な機能全部実装したら、そら大変ですね」という感じ。(Authlete に関しては、OpenAM みたいな感じで使われる、OpenAM よりはるかに簡単に使える代わりに有料の何かなんだろうな、というイメージです) OAuth は必要なのか? Basic 認証は死んだ。 ユーザー単位での API のアクセスコントロールがしたいです。 っていう前提で話すると、OAuth 以外まともな選択肢が無いんじゃないでしょうか。 OAuth の各種 Extension (RFC 6749 & 6750 以外にいろいろある) に関しては、適宜必要なのを実装すればいいんだけど
OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る
認証は単純な概念で、別の言葉で言えば本人確認です。Web サイトにおける本人確認の最も一般的な方法は ID とパスワードの組を提示してもらうことですが、指紋や虹彩などの生体情報を用いた本人確認方法もありえます。どのような確認方法だとしても (ワンタイムパスワードを使ったり、2-way 認証だったりしても)、認証とは、誰なのかを特定するための処理です。開発者の言葉でこれを表現すると、「認証とは、ユーザーの一意識別子を特定する処理」と言えます。 一方、認可のほうは、「誰が」、「誰に」、「何の権限を」、という三つの要素が出てくるため、複雑になります。加えて、話をややこしくしているのは、この三つの要素のうち、「誰が」を決める処理が「認証処理」であるという点です。すなわち、認可処理にはその一部として認証処理が含まれているため、話がややこしくなっているのです。 認可の三要素をもう少し現場に近い言葉で表
OAuth PKCEがRFC7636として発行されました。
私とJohn Bradley(Ping)とNaveen Agarwal(Google)が共著者としてクレジットされている「OAuth PKCE(ピクシー)」 が、[RFC 7636] として発行されました。元々はOAuth SPOP (Symmetric Proof of Posession)と言っていたものですが、Symmetricに限らない形に拡張したため、Proof Key for Code Exchange (PKCE、ピクシー=妖精)と名を改めて現在に至っています。 この規格はOAuth 2.0 [RFC6749]のPublic Client の Code Interception Attack 脆弱性に対応するもので、ephemeral keyを生成して、これを使ったProof of Possession of Key をします。RFC6749と後方互換性がありますし実装も簡単
OAuth2.0の備忘録的まとめ - Ari-Press
Web系技術を学ぶ上で,やはりセキュリティ周りの技術は外せません。OAuth1.0ならばTwitter APIを触っていたんですが、、いつの間に2.0に!ということで、頑張って仕様書を読みつつ自分なりにまとめてみました。 The OAuth 2.0 Protocol draft-ietf-oauth-v2-10 を参考にしています。 また、以下で特に明示されない引用部分は全て The OAuth 2.0 Protocol draft-ietf-oauth-v2-10 から引用したものとします。 更に、以下の文章は2012/12/28時点でのAriの理解をまとめたものであり、内容を保証するのはこの時点でのAriの読解力のみです。 OAuth2.0の必要性 通常、ログインが必要なサービスを利用する際はログインID/パスワードの情報が必要になります。 特定のWebサービスに必要な時にアクセスする
OAuth 2.0やOpenIDの最新動向に追いつくために勉強したことまとめ。 - hsksnote
OAuthやOpenID、仕組みもよく知らずに使ってきた僕が、その最新動向に追いつくために勉強したことをまとめます。 きっかけは OpenID TechNight #7 をUstで見たことで、わからないことが山盛りだったので色々と調べてみた。 OpenID TechNight #7 : ATND 各発表のスライドへのリンクがあるよ。 キーワードとしては、OAuth 2.0、OpenID Connect、Cloud Identity、RESTful API、といったあたりについて。それぞれ基本的なことと、Ustで話されてたことをまとめる。 OAuth 2.0 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT を先に読めばよかった。 簡単にまとめると、OAuth 1.0の問題点は3つあって。 認証と署名のプロセスが複雑 Webアプリケーション以外の利用が考慮されて
「OpenID Connect」を理解する
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
Google Sites: Sign-in
Not your computer? Use a private browsing window to sign in. Learn more about using Guest mode
OAuth2読書会
oauth2_fugu_book.md 1章 重要な用語 1.認証(Authentication) ユーザ自身が何者であると主張しているかを検証するプロセス ユーザ名が表すのはユーザが主張するアイデンティティであり、アプリケーション側は、ユーザの入力したパスワードが正しければ、本人であるとみなす 2.連合型認証(Federated Authentication) ユーザアイデンティティの検証プロセスを外部サービスに依存しているアプリケーションのことをいう。 OpenIDなどが有名(OpenIDプロバイダのGoogleとかYahoo!とか) 3.認可(Authorization) 何らかの行為を行う際に、ユーザにその権限があるかどうかを検証するプロセス。 webアプリケーションは最初にログインしているIDを確認したあと、各操作に対するアクセスコントロールリストを参照して、そのアクセスが許可さ
OpenID Connectを実装するためのOAuth 2.0拡張 - r-weblife
こんばんは、ritouです。 7/8にmixiで行われたidcon #9でOpenID Connectの仕様を紹介させていただきました。 The Latest Specs of OpenID Connect at #idcon 9 私の力不足により、OpenID Connectを「よくわからん」「難しそうだ」と思われたかもしれませんので、ブログで少しずつリベンジしていこうかと思います。 idconではいくつかの機能を紹介しました。 今回は、"OpenID Connect HTTP Redirect Binding"の仕様に書かれている、"OAuth 2.0への追加実装"について整理します。 OpenID Connect HTTP Redirect Binding Spec obsoleted by openid-connect-standard-1_0 "OpenID Connect HT
OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon - r-weblife
おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。 (2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる | @_Nat Zone Thread Safe: The problem with OAuth for Authentication. 今回は以下の内容について整理したいと思います。 OAuth 2.0のどの機能にセキュリティホールがあるのか 誰が攻撃者になれるのか 対策 OAuth 2.0 Implicit Flowとは OAuth 2.0ではサードパーティーアプリケーションが保護リソースへのアクセス権限を得るためのいくつかのフローが定義されています。 (仕様中ではFlowやGrant Type
Facebookが採用してるOAuth2.0の仕様を調べてみた - BangBlog
Facebook流行って?ますね。 あまり使っていないですけど。 で、Facebookと言えば、いち早くOAuth2.0を採用していたりします。 そんなわけで、Facebookの採用している仕様を調べてみました。 乗ってるものには乗っていけの精神です。 Facebookの仕様は Authentication - Facebook developers OAuth 2.0はこちら draft-ietf-oauth-v2-10 - The OAuth 2.0 Authorization Framework Flow Facebookはweb applicationを対象にしたFlow以外に JavaScript-based authentication Desktop application authentication Mobile Web authentication Canvas App
[Perl] OAuth 認証を 0 から書いてみた - Open MagicVox.net
[Perl] OAuth 認証を 0 から書いてみた Posted by ぴろり Posted at 2010/12/31 14:01 Trackbacks 関連記事 (0) Post Comment コメントできます Category Perl で twitter のボットを作ろうとして少し調べてみたんですが、ネット上の情報では、その多くが Net::Twitter や Net::Twitter::Lite の CPAN モジュールを利用しています。これらのモジュールは他に依存するモジュールが多くて、レンタルサーバ上にインストールして動作させるにはちょっと厳しい感じです。仕方なく英語ドキュメントと格闘しながら、Perl で OAuth を突破して twitter にポストするスクリプトを 0 から書いてみました。 | | | | メモ 参考リンク #!/usr/bin/perl use
Twitter API を OAuth で認証するスクリプトを 0 から書いてみた - trial and error
どうも。昨日もちょっと twitter に触れましたが、今日も twitter ねたです。 前の post で、チラッと触れた OAuth 認証 (O認証認証みたいでこわい) を使ってみたくなり、自分で 0 から書いて見ました。 既存のライブラリ使えば手っ取り早いですが、仕組みを理解したかったので、やってみるだけやってみました。 結果から言うと、ものすごく面倒です。すごい時間かかりました。 (僕の文章読解能力と、typo 検出能力と、プログラミングスキルが足りなかっただけかもしれないけど) まあ、これの実装については、各所で結構触れられていますが、まあ話を聞いただけじゃイマイチピンとこないものだったのですが、いざ実装してみたらよくわかりました。 OAuth の仕組み OAuth の仕様については、oauth.net の Documentation に書いてあるとおりです。 OAuth Co
GitHub - albertyi/oauth-provider-demo: A demonstration of an OAuth provider
== Welcome to Rails Rails is a web-application framework that includes everything needed to create database-backed web applications according to the Model-View-Control pattern. This pattern splits the view (also called the presentation) into "dumb" templates that are primarily responsible for inserting pre-built data in between HTML tags. The model contains the "smart" domain objects (such as Acco
Plack::Middleware::Auth::OAuth を作ってみた - hide-k.net#blog
最近、咳のしすぎであばらにヒビが入りました。 大多数の人は心配をしてくださってありがたいのですが、ごく一部の極道達がおもしろ画像を連投して笑わせてくるおかげで全治が大分先になりそうです。 こんばんは。 先日、「モバイルなプラットフォームでの OAuth Signature の検証」ってエントリーを書いた際にPlack::Middlewareとかでやるべきとか書いておいて放置していたのですが、某極道が「とっとと書かないと笑わせてあばらへし折るぞ!ごるぁ!」と脅してきたのでサクッと書きました。 GitHubに置いてあります。 Plack-Middleware-Auth-OAuth 使い方は簡単。 use Plack::Builder; my $app = sub { return [200, ['Content-Type' => 'text/plain'], ['Hello World']];
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Using Resource Owner Password Credentials flow
How can I pre-authorize a client app for my user on my oauth provider that uses doorkeeper?
https://oauth.jp/post/52138598467/login-with-amazon/
Good night, Posterous