OAuth 2.0 の Response Type 全パターン - OAuth.jp
特に新しい話題ではないですが、定期的に質問されてる気がするので記事にしときます。 OAuth 2.0 の Core には、”code” と “token” という2つの response_type が定義されています。 それぞれ “Code Grant” と “Implicit Grant” と呼ばれることもありますし、歴史的経緯により “Code Flow” と “Implicit Flow” と呼ぶこともあります。 ほとんどのケースでは、この2つの response_type のどちらかを使っているかと思いますが、実はこれ以外にも以下の response_type のパターンが存在します。 (仕様はこちら) none code token id_token id_token code id_token token id_token code token id_token ってのが含まれ
mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife
こんばんはこんばんは!!、ritouです。 木曜に公開されたこの記事を見て実際に試してみた/使ってみたってエントリ、たぶん誰も書いてくれないので自分で書きます。 OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog とりあえず上記の記事を読んで、最後の方のシーケンス図を覚えといてください。 では動作確認を始めましょう。 手順0 : サービスを登録してclient_id, client_secretの取得 もしかして、mixi Platformの挙動だけ確かめたい人にとってはここがハードル高いのか。まぁしょうがないです。 開発者登録している人はこちらからサービスを登録できますね。 https://sap.mixi.jp/connect_consumer.pl 例として、とりあえずこんな感じで登録してみます。 client_id : 4f75
「OAuth 2.0 (Implicit Flow) でログイン」の被害例 - OAuth.jp
。登場人物 OAuth 2.0対応してる某ゲームプラットフォーム 某ゲームプラットフォーム上で占いゲームを運営してる攻撃者 某ゲームプラットフォーム上で農園ゲームを運営してる被害アプリの開発者 某ゲームプラットフォーム上で無邪気に遊んでる被害ユーザ ※ 念のため、今回の話は特にゲームに限った話ではない。 前提 某ゲームプラットフォーム、農園ゲーム共に、XSS とか CSRF とかセッションハイジャックされるような脆弱性はない。 農園ゲームはプラットフォームが発行するAccess TokenをOAuth 2.0のImplicit Flowを使って受け取り、同じくプラットフォームが提供するProfile API (GET /me とか) にアクセスして、レスポンスに含まれる user_id をもとにユーザを認証している。 攻撃者は占いゲームのDBから任意のAccess Tokenを取得可能。
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
