フォーム認証は本当に捨てられないのか - 岩本隆史の日記帳(アーカイブ)
フォーム認証とは 2008年も暮れようかという現在、Webアプリを作る際に「そうだBasic認証を使おう」と思う人はほとんどいないでしょう。ユーザIDとパスワードを入力するログインフォームを用意し、セッションIDをcookieに保存する方法を選ぶのが定石だと思います。ユーザIDとパスワードの代わりにOpenIDを受け入れる方法も考えられますが、セッションIDをcookieに保存するという意味では、先の例と違いはありません。この「セッションIDをcookieに保存する方法」のことを、以下「フォーム認証」と呼ぶことにします。 Basic認証が使われない理由 なぜフォーム認証が選ばれるのか。逆にいうならば、なぜBasic認証*1が選ばれないのか。産業技術総合研究所の情報セキュリティ研究センターでは、Basic認証が使われない理由を下記のようにまとめています。 ログアウト機能がないこと ログインせ
Official Google Data APIs Blog: OAuth for Google Data APIs
Posted by Wei Tu, Google Accounts Team The Google Data APIs have always been built on open standards, and today we're proud to announce that all of the Google Data APIs support OAuth - an open standard for authentication. You'll now be able to use standard OAuth libraries to write code that authenticates users to any of the Google Data APIs, such as Google Calendar Data API, Blogger Data API, Pica
restful_authentication - happy lie, happy life. » Diary
restful_authentication プラグインのメモ。検証は Rails 2.0.2 で行っています。 プラグインについて RESTful なユーザ認証を行う事ができます。 通常のセッションを用いた認証、ベーシック認証、 Cookie による認証が利用できます。特に Cookie を用いた認証は、ブラウザを閉じた場合でも有効期間内なら有効になります(設定有効時)。 インストール プラグインをインストールします。Rails 1.2.6 以降でないと動作しないので注意して下さい。 また、 authenticated_system.rb は RAILS_ROOT/lib 以下に展開されます。 ruby script/plugin install http://svn.techno-weenie.net/projects/plugins/restful_authentication/追記
RESTfulなユーザ認証
RESTfulなユーザ認証は難しい。Loginしているか否かを管理するということは、ステートフルであり、RESTfulでは無い。RESTfulな条件のひとつに、ステートレスであるということがある。 Loginしているか否かを管理することは出来ないので、RESTfulなWebサービスでのユーザ認証は、リクエストの度に認証をすることになる。RESTful Webサービスによれば、お勧めは、HTTPで定義されているBasic認証であるようだ。ただし、Basic認証は、パスワードを平文のまま送信するので、SSLと組み合わせて利用することが必要だ。 Rails 2.0 からは、Basic認証が組み込まれている。しかし、APIのページを見ても、実際に何ができるのかは良くわからない。まだ、Netにもあまり記事が出ていない。サンプルを実行してみることは出来るが、どんな風にすれば効果的かは、試すしかないよう
Windows Live ID - みうちんのパパ日記
RESTful Webサービスを読んでて少し引っかかったのは,認証に関してでした.いくらSSL(HTTPS)を使用するとはいえ,Basic認証ってどうなの?と.自分は仕事で認証関連をテリトリーにしていることもあり,勉強用ではあってもBasic認証を実装する気にはなれませんでした. http://msdn2.microsoft.com/en-us/library/bb404787.aspx というか,前から気になってたんですよね.これを機会に調べたかった,というのが今回のモチベーションの50%以上を占めてたり. Windows Live IDというのは,以前Passportと呼ばれていた認証技術の後継である,みたいなことが書かれています.特徴として, 通常認証に必要なパスワードを自分のサイトで管理しなくてよい(Windows Liveの認証サーバに管理してもらう) そのためパスワードを忘れた
たけまる / OpenID に向いている認証と向いてない認証
_ OpenID に向いている認証と向いてない認証 [openid] ZIGOROu さんのとこで,OpenID の使い道について面白い議論がされてい ました. Re:本当は怖いOpenIDによる認証 - Yet Another Hackadelic まず大前提として個人情報等、センシティブなデータを取り扱うサイトは 必ず会員登録は行うべきで、認証、認可はRPのIdentifierに対して与えら れるべきです。 RP (Consumer) のユーザID で認証するのであれば,OpenID を無理に使わ なくても良さそうな気がします.この後,ZIGOROu さんのエントリではい くつかの解決策が提案されているのですが,一歩戻って OpenID の使いど ころについて考えてみることにしました. # これから書くことって当たり前のことな気がするけど,そういうことで # も書いて確認できるのがブロ
OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic
This shop will be powered by Are you the store owner? Log in here
OpenAuth, Google GData API JavaScript とプライベートデータのクライアントサイドマッシュアップについて - snippets from shinichitomita’s journal
なんかいろいろと書きたくなってきたので書きます。長文失礼。 AOL OpenAuth のように、iframe でメールアドレスを選択させて、その結果を親フレームに返すようにすべきだと思いました 上の続き - kazuhoのメモ置き場 なるほど。クライアント側でのマッシュアップで Service Provider → Consumer の流れなら IFRAME + HTTP Referfer を使った方が軽いということですね。 OpenAuth の仕組みは全然追っていなかったので、 id:shinichitomita さんのエントリをもう一度読んで勉強します。まず、そこから把握しないと議論にもならなそうですね。 クロスドメインのセキュリティ問題を OAuth で解決する, OAuth のアイデアに kazuho さんからツッコミをいただいた, それ OpenAuth で (ry - まちゅダ
mixi Engineers’ Blog » OAuthは熱いかも?な件に関して
お久しぶりです、最近はすっかり寒くなってきましたねー。原宿のオフィス環境に最近慣れてきたトールマエサカです。さておき、今日は認証API系のお話をしたいと思います。 OAuthとは? OAuthとは、最近注目されているウェブ上での認証プロトコルの事です。1.0プロトコルの最終ドラフトが、今月リリースされ、良い機会なのでエンジニアブログに書いてみました。 このエントリーを書いている課程で資料を検索してみたらまちゅさんが大変素晴らしい記事: WebAPI のアクセス制御に使える OAuth という仕様 OAuth の Auth は認証?認可? (私もそう思う) を既に書かれている事に気がついたので私は軽くなめる程度にします。 で、実際にOAuthがどういう風に役に立つかというと、例えばウェブサービスAがウェブサービスBから、サービスBでのユーザの認証情報 (idとかpassword) を問わずに
Jot Thought » Blog Archive » HTTP Basic Authentication using restful_authentication with Rails 1.2
Jot Thought Experiences of a Silicon Valley web development firm HTTP Basic Authentication using restful_authentication with Rails 1.2 Posted by Ben on September 27, 2007 I ran into a small issue this morning with the restful_authentication plugin. We are developing an application where we need to provide a JSON data feed. The feed is protected using HTTP Basic Authentication. There is currently
たけまる / OAuth - リソースへのアクセスを代行するプロトコル
_ OAuth - リソースへのアクセスを代行するプロトコル [oauth][openid] [2007-09-23-1] で AtomPub の認証について書いたからというわけではな いのですが,OAuth というプロトコルの仕様を斜め読みしたのでメモして おきます.間違いがあったら教えていただけると嬉しいです m(_ _)m (追記) OAuth の「背景」みたいのについては,miyagawa さんからもらっ たコメントと,まちゅさんのエントリが参考になります. - miyagawa さん oAuthはFlickr,GoogleAuthSub,Y!BBAuth,AOL openAuth,TypeKeyなんかの 統合プロトコルという位置づけ。例では401->WWW-Authenitcateが handshake になってるけど実際はもっと他の方法で運用されるんじゃない かなぁ - まちゅ
はてなIDでMovable Type 4ベースのブログにコメントを
先日のhack-a-thonでMTHatenaStar以外に実はもう1つプラグインを作っていて、でも諸般の事情で完成に至らなかったものがありました。hack-a-thonの最後の発表で、動くところまで見せたんですが、MTHatenaStarと立て続けにやったので、「どんだけはてな好きやねん」などと突っ込まれる始末。 今朝からid:naoyaさんのヘルプを受けて完成したので公開します。MT4のコメント投稿者認証フレームワークとはてな認証APIを使って、はてなIDでコメントできるようにするというものです。このブログでもインストールしてあるので、はてなIDでコメントしてみてください。 はてな認証APIのページで、ご自分のブログ用のAPIキーと秘密鍵を取得する。このとき、コールバックURLとして指定するURLは、コメントフォームのPOST先、つまりCGIPath+CommentScriptの値(既
livedoor メールにGmail採用 - snippets from shinichitomita’s journal
http://www.itmedia.co.jp/news/articles/0707/24/news041.html このニュースが面白いのは、これでlivedoor IDは3つの認証仕様のIdP(アイデンティティ・プロバイダ)になった、ってとこだな。 livedoor Auth OpenID SAML2.0(aka. Liberty ID-FF) SAMLのインターフェースについては、”Circle of Trust”という性質上、OpenIDのように市井の開発者が勝手に使えるような感じでは多分ない。基本的に一方向じゃなくって双方向の信頼を求められるから。まあここらへんへのアンチテーゼであのDick Hardtの名プレゼンが出て来たわけだけども。 でもSAMLは、比較的大きなサービサー同士とか、エンタープライズとの連携では、そうした用途で古くから仕様が練られていることもあり、おそらく使
LAPISLAZULI HILL#Hatena - AtomPPやRESTなどのAPIにおける認証のメモ
WSSE認証 Basic認証 Digest認証 ひとまずはBasic認証で充分な気がする.WSSEは消えつつあるのかな? 以下引用メモ # 2007年06月30日 miyagawa miyagawa Basicのほうがいいよ VoxのフィードはmiyagawaさんがBasic認証対応にしたみたいです。確かにWSSE認証に対応したフィードリーダーなんて聞いたこと無い。 でもたとえば記事のPOST/PUT/DELETEとかはBasic認証でやちゃっていいのかな?今作ってるサービスでも認証方法が決まらなくてscaffold_resourceで生成したAPIもPOST/PUT/DELETEはコメントアウトしてるんですよね。 Basic認証 より正確にいうと、Atom 自体に独自の認証スキームは定義せずに、既存のHTTPで利用できるBasic/Digestを使おうということだと認識しています。WSS
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
http://www.machu.jp/posts/20080124/p01/
Data Portability, Authentication, and Authorization
http://www.machu.jp/posts/20080118/p01/
WLW+AtomPub, Part 2: Authentication
OAuth
WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)
