masa_wのブックマーク - はてなブックマーク

masa_w id:masa_w

ブックマーク / ritou.hatenablog.com (5)

Webアプリケーションのセッション管理にJWT導入を検討する際の考え方 - r-weblife
おはようございます、ritou です。 qiita.com これの初日です。なんの話か皆さんは今まで、こんな記事を目にしたことがありませんか？ Cookie vs JWT 認証に JWT を利用するのってどうなの？ JWT をセッション管理に使うべきではない！リンク貼るのは省略しますが、年に何度か見かける記事です。個人的にこの話題の原点は最近 IDaaS(Identity as a Service) として注目を集めている Auth0 が Cookie vs Token とか言う比較記事を書いたことだと思っていますが、今探したところ記事は削除されたのか最近の記事にリダイレクトされてるようなのでもうよくわからん。なのでそれはおいといて、この話題を扱う記事はクライアントでのセッション管理 : HTTP Cookie vs WebStorage(LocalStorage / Sess
masa_w 2019/12/01
この記事主の方、認証周りでは割と有名どころのエンジニアだと思うのだけど、専門家に任せろと賢しげに凸った人がいるみたいね
リンク
OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife
こんばんは、ritouです. 世の中, OAuthの仕様に沿って提供されているAPIだらけです. モバイル端末で動作するアプリでも, そんなAPIを利用するものだらけです. OAuthなユーザーフローアプリのOAuth実装となるとそれはそれはこまけぇことでいろいろあります. とりあえず, OAuthなプラットフォームを提供する側は以下のようなユーザーの動きを望んでいます. mixiと連携するボタンを押す外部のブラウザが立ち上がる未ログインの場合はログイン画面が表示されるが, 頑張ってHTTPS+ドメイン名とかを確認してログインアプリによるリソースアクセスに対して同意アプリに戻って連携完了やや複雑なものに思えるかもしれませんが, OAuthなプラットフォームを提供している中の人たちからすると, アプリがID(Em ail)/PWなどを直接扱わないことで意図的な悪用, 意図しない漏え
masa_w 2012/06/21
OAuth

セキュリティ
リンク
OAuth EchoはOAuth 2.0ベースになるとどうなるのか？ - r-weblife
こんばんは、ritouです。秋田はコンクリートジャンゴゥなわけでもないのに、なんか最近、暑いです。 OAuth Echoとはたくさんの方が調査されているので、細かい説明は省略。 Delegator(Twitpic)がConsumer(Twitter Client)からリクエストをもらったときに、Service Provider(Twitter)上のどのユーザーなのかを問い合わせることができるしくみです。このときにService Providerのユーザー確認用URL(X-Auth-Service-Provider)とユーザー確認時に利用するリクエストヘッダ(X-Verify-Credentials-Authorization)をConsumerが作成するのですが、これはOAuth 1.0aベースの署名作成ロジックを利用しています。「OAuth 2.0になるとこの辺がもっと楽(簡単)
masa_w 2011/06/10
OAuth

twitter
リンク
OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife
そういえば、GoogleのAPIもついにOAuth 2.0(たぶんDraft 10相当)への対応が行われたとかで、だいぶ浸透してきた感があるOAuth 2.0ですが、まだ仕様はFixしていません。というか、仕様がFixしてもその単体の仕様に全ての定義が含まれるということにはなりません。 Access Tokenの形式(Access Token Type)はOAuth 2.0本体の仕様ではなく別の仕様になりますし、Access Tokenの取得方法であるGrant Typeについても拡張が許可されています。今回は、新しいGrant Type仕様が提案されたというので調べてみました。まずはブログエントリについて Independent Identity: OAuth: New Chain Grant Type "Chain"という、OAuth 2.0のgrant typeが提案されていま
masa_w 2011/03/09
OAuth
リンク
OAuth 2.0の概要 - r-weblife
Eran がエントリ書いてました。 http://hueniverse.com/2010/05/introducing-oauth-2-0/ 今回の内容は翻訳ではありません。読みながら感じたことを書き連ねたものです。 ■ なぜ新しいバージョンを考え始めたのか？OAuth 1.0aの課題 Eranは3つのポイントを挙げています。 Authentication and Signatures OAuthの実装にわずかでも関わった開発者が感じるのは、署名が面倒だということではないでしょうか？ twitterでBasic認証からOAuth/xAuthへの移行に苦労されている開発者の方もいると思いますが、やっぱり工数かかりますよね。（まぁ、それでも独自でSP達が全部考えた仕様にかなり作りこんで対応するよりは、まだましかとおもいますけど？）これを、HTTPSを使ってSecretそのままでとことん簡
masa_w 2010/06/01
リンク
1