OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ
『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
はじめに Authlete(オースリート)社主催の勉強会『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』(2020 年 1 月 31 日(済), 2020 年 2 月 21 日(中止))の内容がてんこ盛り過ぎるため、予習・復習用の情報を書き出そうと思います。 追記 2020 年 1 月 31 日の勉強会の資料と動画(字幕付き)を公開しました! OAuth / OIDC 勉強会参加者は、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本を知っていることが前提となります。 OAuth 2.0 は「アクセストークンを発行する仕組み」です。その中心となる仕様は RFC 6749 です。詳細については『一番分かりやすい OAuth の説明』と『OAuth 2.0 全フローの図解と動画』をご参照ください。 Op
OAuth 2.0 Playground
OAuth 2.0 Playground The OAuth 2.0 Playground will help you understand the OAuth authorization flows and show each step of the process of obtaining an access token. These examples walk you through the various OAuth flows by interacting with a simulated OAuth 2.0 authorization server. Choose an OAuth flow
Final: OpenID Connect Core 1.0 incorporating errata set 1
Abstract OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである. このプロトコルは Client が Authorization Server の認証結果に基づいて End-User のアイデンティティを検証可能にする. また同時に End-User の必要最低限のプロフィール情報を, 相互運用可能かつ RESTful な形で取得することも可能にする. この仕様は, OpenID Connect の主要な機能である OAuth 2.0 上で End-User の情報伝達のために Claim を用いる認証機能 を定義する. この仕様はまた, OpenID Connect を利用するための Security, Privacy Considerations を説明する. Table of Contents
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
[参考情報] 【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ URL:https://qiita.com/kura_lab/items/812a62b5aa3427bdb49d タイトル: 『OpenID Connect 入門 〜コンシューマー領域におけるID連携のトレンド〜』 概要: コンシューマー領域におけるID連携のトレンドであるOpenID Connectの概要と仕様のポイントについてご紹介します。 OpenID TechNight Vol.13 - ID連携入門 Aug. 26, 2015 URL:https://openid.doorkeeper.jp/events/29487
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
APIアクセス権を委譲するプロトコル、OAuthを知る - @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 OAuthプロトコルを知る OAuthを使ったWeb APIアクセス権の委譲が実際にどのように行われるかはエラン・ハマー氏のブログに詳しいが、簡単に説明すると、2つのアプリケーションをマッシュアップさせたい「ユーザー」が、リソース(例えば、アルバムサイトにある写真など)を管理するサイト「サービスプロバイダ」が提供するAPIの接続許可証「トークン」を、サービスプロバイダを通じて、リソースを利用したサービスを提供する別のサイト(例えば、写真を現像するサイト)「コンシューマ」へ発行し、IDとパスワードの代わりにトークンを渡してサービスプロバイダ上のリソースへアクセスさせる、ということになる。
はてなブログ | 無料ブログを作成しよう
春の伊予国漫遊記。松山・今治と愛媛の魅力を満喫してきました。 法事を兼ねて愛媛観光へ 2024年のGWは、毎年恒例の名古屋帰省ではなく自宅でゆっくり過ごしておりました。というのも、4月に法事のため愛媛・松山に親族大集合というイベントがありまして、そちらをGWの旅行代わりにしたという理由です。法事は日曜日の予定ということ…
TwiterとOAuthとperlでの実装 - Lazy Programmer :-p
UmakatterにOAuthを利用した機能を組み込みました。 TwitterのOAuthなのですが、Net::Twitter を利用すると本当に簡単に実現できます。こんなコードです。 OAuthアカウント作成 http://twitter.com/oauth_clients にて、アカウントを作成してください。 Net::Twitter::OAuthじゃなくてNet::Twitter::Role::OAuthの方の PODを読むと吉 Net::Twitter::Role::OAuth に書いてある通りにやると、とても簡単に実装できます。(Typoがいくつかあるので注意) OAuth認証へのリダイレクトしょり こんな感じで、リダイレクトする前に、token, token_secretをユーザのクッキーに保存しておきます。 my $nt = Net::Twitter->new( %{$con
The method to update your application from OAuth Core 1.0 to 1.0a - r-weblife
米Yahoo!がOAuth Core 1.0 Revision Aに対応しました。 http://developer.yahoo.net/blog/archives/2009/05/oauth_update_3.html http://developer.yahoo.com/oauth/guide/oauth-auth-flow.html http://oauth.googlecode.com/svn/spec/core/1.0a/drafts/3/oauth-core-1_0a.html OAuth Security Advisory 2009.1 — OAuth 説明は省略して、結局今までOAuthのConsumerを実装してた人はどうすればいいのかをざっくりまとめておきます。 以下の4つの対応が必要です。 Request Token取得要求時にoauth_callbackパラメータを
【宿題】twitterのcallback URLのあたりについてはっきりさせたい! - r-weblife
■ 目的 何度となく調べているtwitterのOAuth仕様だが、callback URLのあたりがまだ曖昧 ( twitter,FriendFeedのOAuth実装について - r-weblife ) ■ 今回調べること BrowserAppのoauth_callbackによるふるまい ClientAppのoauth_callbackによるふるまい ■ BrowserAppのoauth_callbackによるふるまい ConsumerAppの情報は以下のとおり Type : Browser callback URL : http://r-weblife.sakura.ne.jp/test/twitter/afterAuthorization.php (1) callback URL指定なし RequestToken取得要求時、Authorizationエンドポイントへのリダイレクト時の両
PHP+OAuthでTwitter - SDN Project
PHP+OAuthでTwitter Twitterで最近よく見る「OAuth」、オース or オーオースって多分読むのでしょうが、これは簡単に言うとTwitterの新たな認証方式といえます。 今まではBasic認証が一般的でしたが、将来的にセキュリティ面で非推奨になるといわれているらしく、Twitterは今後はOAuthを推奨しています。 英語ですが、そのように書いてあります。 →Twitter API Wiki / Authentication ただ、Basic認証は手軽に出来るものでしたが、OAuthはちょいと手間がかかったりもするのでそんなにさっさと移行できるものではなかったりもしますが。 まぁOAuthについては、しばさんが詳しく書かれているのでそちらを参照していただくと早いかもしれないです。 内容はRuby+OAuthですが、プログラム部分以外は共通しています。 →Twit
twitterでOAuthを使う方法(その1:認証まで) - てっく☆ゆきろぐ
FreeBSD、MacOSX、Webアプリ系、RDBMS(PostgreSQL)などの話題が中心になるかと思います。 OAuthって結構難しいと思われてるようですが、難しいというよりは、『ややこしい』です(苦笑) そんなわけで。 手順毎に順番に説明をしようと思います。 ※2009/09/23 説明の図(手書きでごめんなさい)追加しました。 ●語句の説明 ・サービスプロバイダ(service provider)・・・サービスを提供しているところ。この場合、twitter。 ・ユーザ(user)・・・サービスプロバイダに登録していて、そのサービスを利用している人。 ・コンシューマ(consumer)・・・サービスを提供しているところに、ユーザにかわって、そのサービスに対してアクセスする第三者。サードパーティ、とでも言うべきでしょうか。要は、この記事を見て「何か作ってみたい」という、あなたです。
UK STUDIO - OAuthを使ってみた雑感
最近、TwitterのDMスパムなどで話題のOAuthですが、仕事で使ってみて色々思うところもあるのでまとめておく。 OAuthは安全か まず、 OAuthでよく言われてるようにみえるパスワードをサービスに渡さないから安全ということに関して。簡単に言うと、「パスワード渡すよりは安全だけどまぁ信用していいかどうかの判断は必要だよね」ってところ。 OAuthは難しい話を抜きにしてしまえば、期限つきパスワード(Twitterは無期限っぽいですが)をサービスごとに発行するようなものだと思う。パスワードを渡した場合と違って、パスワードを書き換えられてログインできなくなるということはないが、APIで実行できることは基本的に出来るのでOAuthにもそれなりのリスクはある。 リスクと言ってもパスワードを第三者に渡すよりははるかに安全。先程述べたようにパスワードを書き換えられる心配もないし、仮に第三者のサ
そろそろちゃんと理解したい!OpenID と OAuth ( ラボブログ )
スパイスラボ神部です。 OpenSocial をやってるとちょこちょこ顔を出す OpenID と Auth。これについてちゃんと理解するためのいろいろを調べてみたいと思います。 -シングル・サインオンが好きだ! - Favorites! OpenID まわりについて -OpenID や OAuth の役割と、既存のシングル・サインオンとの違い:Goodpic これは目から鱗。シングルサインオンとシステムの類似性があるわけだから、そこから理解するのがいいのかもね。 OpenID については要は「本人確認を取り除いた低コストな認証システム、ということなのかなあ。 その他の参考エントリ: -OpenIDの使いどころ - Yet Another Hackadelic -たけまる / OpenID に向いている認証と向いてない認証 -ID管理と OpenID について - まちゅダイアリー(2
たけまる / OAuth - リソースへのアクセスを代行するプロトコル
_ OAuth - リソースへのアクセスを代行するプロトコル [oauth][openid] [2007-09-23-1] で AtomPub の認証について書いたからというわけではな いのですが,OAuth というプロトコルの仕様を斜め読みしたのでメモして おきます.間違いがあったら教えていただけると嬉しいです m(_ _)m (追記) OAuth の「背景」みたいのについては,miyagawa さんからもらっ たコメントと,まちゅさんのエントリが参考になります. - miyagawa さん oAuthはFlickr,GoogleAuthSub,Y!BBAuth,AOL openAuth,TypeKeyなんかの 統合プロトコルという位置づけ。例では401->WWW-Authenitcateが handshake になってるけど実際はもっと他の方法で運用されるんじゃない かなぁ - まちゅ
tzmtk / OAuthCore10aJP
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
ウノウラボ Unoh Labs: OAuth プロトコルを知る
こんにちは、naoya です。 昨日の社内勉強会で、OAuth について行いましたので、そのときの資料を公開します。 OAuth プロトコルの解説のあとに、Twitter の OAuth 経由でステータスを更新するクライアントを作ってみたので、そのソースコードをおいておきます。サンプルでは、現在時刻をステータスとして更新しています。ダウンロードは、こちらからどうぞ。ちなみに、OAuth の仕様書では、Authorization ヘッダに埋め込む方法が書いてありますが、Twitter では対応していませんでした。実際に動作を見てみたい人は、サンプルコードを設置してみてください。 サンプルコードに含まれているファイルは、次の通りです。 oauth_twitter.php: まずこのファイルを開きます、Request Token リンクをクリックすると認証トークンを取得開始します oauth_t
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth 2.0 Playground