OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 #技術書典 応援祭の新刊をBOOTHで公開! OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 https://t.co/OtNRNQGmOJ 以下について学びたい方はぜひお読みください state nonce PKCE c_hash at_hash CSRF リプレイ攻撃 認可コード横取り攻撃 トークン・コードインジェクション— Auth屋@技術書典応援祭を応援!OAuthへの攻撃本執筆中 (@authyasan) 2020年3月7日 私もレビューをさ
『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』の予習・復習用情報 - Qiita
はじめに Authlete(オースリート)社主催の勉強会『いまどきの OAuth / OpenID Connect (OIDC) 一挙おさらい』(2020 年 1 月 31 日(済), 2020 年 2 月 21 日(中止))の内容がてんこ盛り過ぎるため、予習・復習用の情報を書き出そうと思います。 追記 2020 年 1 月 31 日の勉強会の資料と動画(字幕付き)を公開しました! OAuth / OIDC 勉強会参加者は、OAuth 2.0(オーオース)と OpenID Connect(オープンアイディー・コネクト)の基本を知っていることが前提となります。 OAuth 2.0 は「アクセストークンを発行する仕組み」です。その中心となる仕様は RFC 6749 です。詳細については『一番分かりやすい OAuth の説明』と『OAuth 2.0 全フローの図解と動画』をご参照ください。 Op
Final: OpenID Connect Core 1.0 incorporating errata set 1
Abstract OpenID Connect 1.0 は, OAuth 2.0 プロトコルの上にシンプルなアイデンティティレイヤーを付与したものである. このプロトコルは Client が Authorization Server の認証結果に基づいて End-User のアイデンティティを検証可能にする. また同時に End-User の必要最低限のプロフィール情報を, 相互運用可能かつ RESTful な形で取得することも可能にする. この仕様は, OpenID Connect の主要な機能である OAuth 2.0 上で End-User の情報伝達のために Claim を用いる認証機能 を定義する. この仕様はまた, OpenID Connect を利用するための Security, Privacy Considerations を説明する. Table of Contents
OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
[参考情報] 【永久保存版】OAuth 2.0 / OpenID Connect シーケンスまとめ URL:https://qiita.com/kura_lab/items/812a62b5aa3427bdb49d タイトル: 『OpenID Connect 入門 〜コンシューマー領域におけるID連携のトレンド〜』 概要: コンシューマー領域におけるID連携のトレンドであるOpenID Connectの概要と仕様のポイントについてご紹介します。 OpenID TechNight Vol.13 - ID連携入門 Aug. 26, 2015 URL:https://openid.doorkeeper.jp/events/29487
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
OpenID F-J、決済WGを発足 - ヤフー、楽天、ミクシィなど、14社が参加 | 経営 | マイコミジャーナル
OpenIDファウンデーション・ジャパン(以下、OIDF-J)は12月8日、「決済ワーキング・グループ」(以下「決済WG」)を立ち上げたと発表した。 OIDF-Jは、ユーザー認証技術「OpenID」の国内普及/国際化を支援する一般社団法人。現在50社の会員企業を有し、会員企業様の協議のもと活動の詳細を決めている。 決済WGの発足は、今年6月24日に公布され、12月7日に政/府令案が公表された「資金決済に関する法律」を受けてのもの。同法律が施行されると、現在、銀行などの預金取扱金融機関のみが営むことができる送金等の為替取引を他の業態にも認めるための制度整備が図られるため、決済WGでは、消費者に対して安全で利便性の高い決済サービスを提供することを目的に、企業が資金決済事業を運営するで準拠することが望ましいガイドラインを策定していくという。 決済WGは、中央大学大学院 戦略経営研究科 教授の杉浦
mixi Developer Center » mixi OpenID
仕様 mixi OpenID は mixi 内のユーザー情報を外部サイトでの認証に使用するためのサービスです。この文章では mixi OpenID の仕様について説明します。 FAQ mixi OpenID について、よくある質問とその答えをまとめました。 mixi Platform用素材利用ガイドライン ユーザーに簡単にわかりやすくログインできるようにするために、専用ログインボタンを配布しています。また、利用ガイドラインに沿ったボタンの利用をお願いしています。 ガイドライン mixi OpenIDを導入いただくにあたってのガイドラインとなります。本記載内容に沿った対応サイトを作成いただくことで、ユーザーにメリットのあるコミュニケーションがもたらされることを望んでいます。
ミクシィ、認証サービス「mixi OpenID」を提供--「mixi Platform」第1弾
UPDATE ミクシィは8月20日、オープンな分散認証技術「OpenID」とソーシャルネットワーキングサービス(SNS)「mixi」を融合した認証サービス「mixi OpenID」を同日15時に提供開始することを発表した。mixiのサービスを外部パートナーと共同で構築する仕組み「mixi Platform」の第1弾だ。 mixi OpenIDを利用することで、mixiユーザーは世界中のOpenID対応ウェブサービスを、個別にユーザー登録することなく利用できるようになる。 mixi OpenIDでは、ソーシャルグラフ(人と人のつながり)を認証する「マイミクシィ認証」と「コミュニティ認証」の2種類の認証サービスを提供する。 mixi OpenIDに対応するウェブサービスは、マイミクシィ認証を利用することで、mixiの特定ユーザーの友人だけに閲覧や更新を許可するアクセス制御を実行できる。また、
OpenID勉強会レポート - Hello, world! - s21g
勉強会参加者の皆様、昨日はお疲れ様でした。 今回は、事前に参加登録していただいた方々がほとんど全員お越しくださったようで、配布資料も3度増刷がかかる盛況ぶりでした。内容のほうも昨年のComet勉強会を彷彿とさせるような非常に濃い話が飛び交い、想定していた以上に勉強ができる会になりました。ありがとうございます。 全体的な振り返りとしては、大体以下のような次第でした。 自己紹介+自分がかかわっているOpenID活動の紹介 rakuto氏によるOpenIDの動作原理の詳説 ZIGOROu氏によるプレゼンテーションx2 OpenIDとビジネス化の方向性について議論 各所での利用状況に関する情報交換 OpenID関連のイベント・勉強会情報の告知 名刺交換タイム(?) 懇親会(6時間に及ぶ延長戦) 非常に密度の濃い議論や意見交換ができたと思います。 内容の濃さという意味では、昨年のComet勉強会を髣
ゆーすけべー日記
サキとは彼女の自宅近く、湘南台駅前のスーパーマーケットで待ち合わせをした。彼女は自転車で後から追いつくと言い、僕は大きなコインパーキングへ車を停めた。煙草を一本吸ってからスーパーマーケットへ向かうと、ひっきりなしに主婦的な女性かおばあちゃんが入り口を出たり入ったりしていた。時刻は午後5時になる。時計から目を上げると、待たせちゃったわねと大して悪びれてない様子でサキが手ぶらでやってきた。 お礼に料理を作るとはいえ、サキの家には食材が十分足りていないらしく、こうしてスーパーマーケットに寄ることになった。サキは野菜コーナーから精肉コーナーまで、まるで優秀なカーナビに導かれるように無駄なく点検していった。欲しい食材があると、2秒間程度それらを凝視し、一度手に取ったじゃがいもやら豚肉やらを迷うことなく僕が持っているカゴに放り込んだ。最後にアルコール飲料が冷やされている棚の前へ行くと、私が飲むからとチ
OpenIDに対応するメリットは?
はじめに 本連載では、OpenIDについての疑問点や、導入までに迷いやすそうな点について、できるだけ簡潔に、かつフランクに説明します。詳細な技術情報が今すぐ必要、という方は、筆者が@ITで執筆しているOpenIDの連載も一読されるとよいでしょう。ご質問がある方は、記事下のフォームから質問をお寄せください。 最近、OpenIDという言葉をよく耳にするようになりました。当社では幾つかのWebサービスを手掛けているのですが、これらをOpenIDに対応させてみたいと考えています。しかし、Webサービスを提供する側にとって、OpenIDを採用するメリットがいまひとつ分からず、本当に対応するべきか迷っています。OpenIDに対応した場合にWebサービス提供側が得られるメリットを教えてください。 ご質問の内容は、OpenID対応を考えるときにまず浮かんでくるであろう疑問ですが、OpenIDに関するまとま
OpenID Japan プロトタイプ - 〜OpenID Japanサイト構築の方向性検討のために〜
OpenID Japan は、OpenIDに関する情報提供のワンストップサイトです。Orange (Telecom France) が、OpenIDのRelying Partyとしての対応を行った。 Orange は昨年より、OpenIDプロバイダとしての対応は行っていたが、今回の対応によって、フランステレコムの認証が必要なポータルに、フランステレコムの契約を持っていなくても OpenIDでログインできるようになった。同ポータルでは、チャット、フォーラム、ゲーム、ニュースなどが提供されている。 この度、OpenIDの実装をされるエンジニア様向けに 「OpenID Tech Night」と題しました第3弾セミナーを 下記の通り実施いたします。 ご好評をいただきました4月のVol.1、6月のVol.2に続く今回は、 OpenID Authentication2.0の翻訳版をお披露目すると
OpenIDのライブラリにはCSRFに脆弱な物が多い
(Last Updated On: 2018年8月8日)GNUCitizenによると CSRF – It comes very handy. It seams that no matter how much you talk about it, very few pay attention on the problem. And it is not a problem that you can afford to have. And among the XSS issues, which most OpenID libraries have, CSRF (Cross-site Request Forgery) seams to be the most pervasive form of attack. http://www.gnucitizen.org/blog/hijacking-ope
Re:OpenIDが面白いのはWebサービス間の連携 - 日向夏特殊応援部隊
概ね核心をついているんだけど、少し分かりにくいと思ったので補足してみたりとか。 元ネタ F's Garage @fshin2000 :OpenIDが面白いのはWebサービス間の連携 結局、それなりに責任が伴うサービスとしては二段構えの対応にならざるを得なく、「お試し利用としてのOpenID対応」というフェーズと、「本気で使うならうちに個人情報を登録してね」という状態は分かれるだろう。 ユーザーサポートが絡むサービスであればあるほど、この部分は意識せざるを得ないし、マーケティングという大人の事情も絡めば絶対に無視できない。ネットのサービスはHTTPだけで完結するものではない。 f-shinさんが言っている「お試し利用」と「本気の利用」ってのは恐らく、メールアドレス等の個人情報を自前で持つか持たないかの話だと思うんですが合ってますかね? Simple Registration Extensio
OpenIDが面白いのはWebサービス間の連携2
OpenIDの話、続き。 前のエントリを書いたときには忘れていましたが、僕も昔、XML WebServicesがわさわさ出てきたときに、企画提案レベルで複数サービスの連携なんてのを考えてみたことがある。 例えば自分がアメリカに行くときに、飛行機を予約して、現地のレンタカーを予約して、その先に止まるホテルをオンラインで予約することを考える。 もし緊急事態で、飛行機の予約を一日ずれさなければならなくなったときに、飛行機の予約を変更したら、自動的もしくはとても簡単な連携で、レンタカーの予約も変更されて、ホテルの予約も変更してくれるようなサービス間連携ができるようなことができたら、それと同じような利便性で、いろんなことが便利になっていると思う。 これをどういう感じで実現するのか?と考えると、どう考えても複数サービスで串刺しのユーザー認証ができないとメリットとしては見えてこない。 逆に言えば、串刺し
OpenID認証2.0〜概論 | feedforce Engineers' blog
OpenID認証2.0の"概論"についての発表資料です 仕様の詳細部分については説明を省略しています XRI周辺についての説明も省略しています(力量不足につき) 仕様を把握しきれてはいないため、誤りが多く含まれている可能性があります 以下は、実際の発表で使用したスライドのPDFです。 - 発表資料(PDF) -- 1.1MB はじめに OpenID認証とは 特徴 「オープン」 「秘密情報の保護」 「分散的」 「HTTP」 「拡張」 用語 プロトコル概観 開始(Initiation) 正規化(Normarization) 発見(Discovery) 関連づけ(Association) 認証要求 エンドユーザーの認可 承認/却下 照合 実例 OP-Local Identifierで始める OP Identifierで始める HTMLのURLで始める 自前のYadis IDで始める セキュリティ
mixiがOpenID対応へ
ミクシィは2月28日、「OpenID」に対応した認証サービスを始めると発表した。mixiのIDで、OpenIDに対応した外部サイトにログインできるようになる。ヤフーやライブドア、ニフティもOpenID対応を進めており、国内でのOpenID普及が一気に進みそうだ。 mixiが認証サービスを提供することで、mixiユーザーは1つのIDで他サイトにもログインできるようになり、ID・パスワード管理が容易になる。開発者にとっては、サイトをOpenIDに対応させることで、mixiユーザー1331万ID向けにサービスを提供できるようになる。 開始時期は未定。他社IDでmixiにログインできるサービスの提供は予定していない。 国内大手では、ヤフーやライブドアがOpenID認証サービスをすでに開始。ニフティも一部サービスでOpenIDによるログインに対応している。 同日、シックス・アパート、日本ベリサイン、
OpenIDに欠けている「評判情報」 ― @IT
2007年12月にOpenID 2.0の最終仕様がリリースされたばかりだというのに、気の早い人がいるもので、すでにOpenIDコミュニティでは「OpenID 3.0」という言い方をする人が出てきている。OpenIDの受容が急速に進んでいる理由の1つは、用途を限定してシンプルにしたことにあるのだろうが、デジタル・アイデンティティが解決すべき課題は幅広い。例えば業界団体のリバティ・アライアンスがこれまでに策定した仕様や取り組んでいる仕様案を見れば、OpenIDが解決しつつある問題が、巨大なパズルの一部分に過ぎないことがよく分かる。リバティでは例えば“Advanced Client”とか“Smart Client”という呼び名で、ネットに接続できないモバイル端末でユーザー認証を行うメカニズム「Liberty Alliance ID-WSF Advanced Client 1.0 Specific
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
「iKnow!」が4月からOpenID準拠、Yahoo! JAPAN IDなどでログイン可能に
TechCrunch Japanese アーカイブ » OpenIDの一般利用拡大を図る「Clickpass」
