OAuth2.0やOpenID Connectなど体系だった情報や初心者でも分かりやすい記事が分散していたので、これらを整理した。 この後は、実際に手を動かしながら理解を深めていこうと思う。 ここでは全体像をはっきりとさせることが趣旨なので、詳細は該当リンクを参照してください。 認証と認可の違い 認証 通信の相手が誰であるかを確認すること 英語では、Authentication 認可 ある特定の条件に対して、リソースアクセスの権限を与えること 英語では、Authorization OAuthとは 「第三者のアプリケーションにユーザーの ID & パスワードを渡さない」ことを目的にした認可の仕組み(引用元) OAuth 2.0 とは、サービスのユーザーが、サービス上にホストされている自分のデータへのアクセスを、自分のクレデンシャルズ (ID & パスワード) を渡すことなく、第三者のアプリケ
概要 あるサービスを使った開発をするとき、そのサービスが提供しているAPIを使いますよね。例えば、githubのissuesを監視するサービスを作りたいとすると、何らかの形で githubレポジトリのissues一覧を取得するAPI を利用しそうです。当然ですが、このようなAPIはcurlで叩くことができます。例えばrailsのissues一覧を取りたければ、以下のコマンドを打てばOKですね。 とは言っても、実際にAPI使った開発をするときは、外部コマンドとしてcurlを使うのではなく、開発に用いている言語のAPIクライアントライブラリを使うでしょう。例えば、上記のgithubのissuesを監視するサービスをgoで開発するならば、goのgithubクライアントライブラリ を使うことになると思います。きちんと作られたクライアントライブラリを使うことで、APIリクエストの組み立て・APIレス
え? OAuth 2.0 の Access Token も JWT じゃなかったの?と思っている皆さん - r-weblife
こんばんは、ritou です。 パスキーの記事ばっかり書いてないでたまにはOAuthのことも取り上げましょう。 OAuthのAccess Tokenについて少し復習してみましょう。 OAuthのAccess Token ってJWTじゃないの? これについては、我らが Auth屋さん がお話しする会みたいなので自分の方でもいくつか勝手に質問に答えた中にありました。 RFC 6749: The string is usually opaque to the client. RFC 9068: This specification defines a profile for issuing OAuth 2.0 access tokens in JSON Web Token (JWT) format. と言うようにATの形式は決められていないがJWTを使うためのプロファイルもある、と言うところ。
Press Enter, and JHipster will create your app in the current directory and run npm install to install all the dependencies specified in package.json. Verify Everything Works with Cypress and KeycloakWhen you choose OAuth 2.0 and OIDC for authentication, the users are stored outside of the application rather than in it. You need to configure an identity provider (IdP) to store your users and allow
New tools to block legacy authentication in your organization
Hey folks, If you’re a regular reader of this blog series, you know we’ve been advocating for admins to enable multi-factor authentication (MFA) for a while. In one of my previous posts, Your Pa$$word doesn’t matter, I showed how vulnerable passwords are to attack and why enabling MFA reduces the likelihood of being compromised by more than 99.9 percent. For MFA to be effective, you also need to b
OpenID Connect, ふたつのトークンの物語 「なぜ OpenID Connect にはトークンが二種類あるの?」という質問を、たびたびもらいます。そこにはいくつかの設計上の要件があり、わたしたちは仕様策定のなかで議論してきました。 1 - RP (リライング・パーティ) からの要件は、ログイン後のユーザー・インタフェースの簡便なカスタマイゼーションです。 そこでは、ユーザーへのレスポンスを一秒以下で行うことが求められました。つまり、ユーザー ID を取得するための、IdP へのさらなるラウンドトリップ (問い合わせ) は許されなかったのです。パスワードによる認証に加えて数秒の遅延が発生するようでは、実際に使うことはできないと、多くの RP が考えています。Facebook は署名つきリクエスト (signed request) を用いて、ユーザー ID をレスポンスに格納して返
OAuth 2.0 Playground
OAuth 2.0 Playground The OAuth 2.0 Playground will help you understand the OAuth authorization flows and show each step of the process of obtaining an access token. These examples walk you through the various OAuth flows by interacting with a simulated OAuth 2.0 authorization server. Choose an OAuth flow
CognitoユーザープールでGoogleアカウントでサインインできるようにする | DevelopersIO
概要 CognitoのユーザープールのフェデレーテッドIDプロバーダーとしてGoogleを設定します。 この設定を行うことで、Googleアカウントを利用してサインインが可能になります。 今回はAWSの公式ドキュメントを参考に作業していきます。 全体の流れ 以下のような流れで設定を行います。 ユーザープールの作成 GoogleでのOAuthの設定 ユーザープールでのフェデレーテッドIdPの設定 1 ユーザープールの作成 1.1 ユーザープールの作成 はじめにユーザープールを作成します。 このユーザープール内にアカウントが作成されます。 今回は「GoogleExample」という名前で作成します。 簡略化のためデフォルト値で作成します。 最終的な設定は以下のようになります。 1.2 アプリケーションクライアントの作成 アプリケーションから使用するためのクライアントを作成します。 設定はデフォ
How OAuth 2.0 Works
The Teleport Access PlatformThe easiest, most secure way to access and protect your infrastructure Teleport Access On-demand, least privileged access, on a foundation of cryptographic identity and zero trust
Keycloakで実現するAPIセキュリティ
システム間連携に必要なAPIには、認可・認証のセキュリティ技術が必須となります。この連載では、OAuth 2.0を用いたOSSの認証・認可サーバ「Keycloak」を用いたAPI保護の仕組みについて紹介します。
はじめに Twitterアイコンが青い鳥からXに変わって諸行無常な今日この頃、今更Twitter APIに入門してみました。意外と手順が複雑だったことと、新しい認可方式を利用していない記事も現状多そうなので、備忘録として詳しめに手順をまとめます。同じような方の参考になれば幸いです。 この記事では、以下の方法でAPIリクエストを行うことをゴールとします。 無料プランを使い、完全無料でAPIリクエストを行います。無料プランでは以下3つのエンドポイントを利用可能で、月1,500ツイートまで投稿できます。 POST /2/tweets : ツイートを投稿する DELETE /2/tweets/:id : ツイートを削除する GET /2/users/me : 自分のユーザー情報を取得する OAuth 1.0認証ではなく、2021年12月からサポートされたOAuth 2.0認証を利用します。 Ann
GoogleSignInを本番環境向けに設定して申請したら大変だった話 - MONEX ENGINEER BLOG │マネックス エンジニアブログ
こんにちは。マネックス・ラボでferciを開発している佐藤です。今回は、GoogleSignInで本番環境を意識した設定行った上で本番環境での利用を申請しようとしたところ、わからないことが多くて時間を使ってしまったので、本番環境を想定した設定の流れと、ハマりどころを書き残したいと思います。 Googleのロゴは勝手に使えないのでマカロンの画像を貼っておきます。 前提 公式のドキュメント GCPの準備 OAuth2.0クライアントIDの登録 OAuth同意画面の設定 「アプリを編集」の設定 アプリ名 ユーザーサポートメール アプリのロゴ画像 アプリのドメイン 承認済みドメイン デベロッパーの連絡先情報 スコープの設定 テストユーザー 本番環境への申請 確認を準備する 省略可能な情報 YouTube動画について 審査で指摘されたこととGoogle担当者とのやり取りについて ハマりどころ ユーザ
概要 OpenID Connect (OIDC) を使うと、GitHub Actions ワークフローでは、有効期間の長い GitHub シークレットとしてアマゾン ウェブ サービス (AWS) 資格情報を格納しなくても、AWS 内のリソースにアクセスできます。 このガイドでは、GitHub の OIDC をフェデレーション ID として信頼するように AWS を構成する方法と、トークンを使って AWS に対する認証とリソースへのアクセスを行う aws-actions/configure-aws-credentials のワークフロー例を示します。 前提条件 GitHub が OpenID Connect (OIDC) を使用する方法の基本的な概念とそのアーキテクチャと利点については、「OpenID Connect を使ったセキュリティ強化について」を参照してください。 先に進む前に、アク
はじめに Spring Security プロジェクトは、認可サーバーの実装を今後サポートしない旨、2019 年 11 月 14 日付の『Spring Security OAuth 2.0 Roadmap Update』でアナウンスしました。しかしその後、一部の有志が Spring の認可サーバー実装プロジェクト『Spring Authorization Server』を開始しました。この記事は、そのプロジェクトに対する警鐘となります。 OAuth 2.0 Multiple Response Type Encoding Practices 2012 年 10 月の RFC 6749(The OAuth 2.0 Authorization Framework)のリリースから 1 年 4 ヶ月後の 2014 年 2 月、OAuth 2.0 Multiple Response Type Enco
はじめに (Mac環境の記事ですが、Windows環境も同じ手順になります。環境依存の部分は読み替えてお試しください。) この記事を最後まで読むと、次のことができるようになります。 SalesforceのAPI(OAuth 設定の有効化)を設定する Python, Java, Shell ScriptでSalesforceのデータを取得する SalesforceのApexでREST Webサービスを実装する サンプルコード sf = Salesforce(username=USERNAME, password=PASSWORD, security_token=SECURITY_TOKEN, sandbox=False) res = sf.query( 'SELECT Id, Name, LastLoginDate FROM User WHERE Name =\'nsuhara\'') pr
2019-07 LINE x Intertrust Security Summit 2019, Spring レポート
こんにちは、サイバーセキュリティ室の市原です。 毎年開催している LINE x Intertrust Security Summit 2019, Spring(5/29開催)をダイジェスト的に振り返ってみたいと思っています。 今年は、「Safeguarding the New Era of Digital Identity and Digital Trust」というテーマで開催しました。最初にこのテーマの意義について触れたいと思います。 なぜ今、デジタル・アイデンティティか? このサミットを準備し始めた頃から(特にエンジニア以外の方から)「デジタル・アイデンティティって何ですか?」という質問をもらうようになりました。 皆さんは、”On the Internet, Nobody Knows You're a Dog”(=インターネット上では、あなたが犬だとは誰も知らない)(*1)の絵を知って
Chatwork の Scala プロダクトとそれを支えるチーム その壱 - Chatwork Creator's Note
これは Chatwork Advent Calendar 2020 / Scala Advent Calendar 2020 10日目 の記事になります。 こんにちは。サーバーサイド開発部の Scala プロダクトを開発運用する部署でマネージャーをしている、 hayasshi です。 Chatwork は Scala を採用すると決めてから、約 6 年経ちました。 その中で、失敗もしながら、少しずつ Scala のシステム領域を広げてきました。 今回と次回の二記事にて、この 6 年で開発し、いま実際に稼働運用されている、 Chatwork の Scala プロダクトの紹介と、それを普段どのように開発運用しているかについて、書きたいと思います。 Scala プロダクトの紹介 今回は Chatwork の Scala プロダクトについてご紹介します。 特に下記の項目についてそれぞれ記載したいと
※ 2023年改定: 全体まとめを最新の議論にそったものに変更しました。 ※ 電子版はpdfとepubをダンロードできます。 Auth屋の本の評判: https://togetter.com/li/1477483 本書の書評: https://dev.classmethod.jp/articles/tech-book-oauth-oidc-redirect/ ステッカーは「OAuth完全に理解した!」ステッカーです。 トップの画像を参照ください。 ================= ■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと
![OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 [2023年改訂版] - Auth屋 - BOOTH](https://cdn-ak-scissors.b.st-hatena.com/image/square/c9fc72c2826e7719626dfdbc0f48298c44cb36f3/height=288;version=1;width=512/https%3A%2F%2Fbooth.pximg.net%2Fc%2F620x620%2Fcf80a27c-5163-4a4b-9d2b-2ba823d41bec%2Fi%2F1877818%2Fd6527239-b373-4d0b-9006-c49c7046d45c_base_resized.jpg)
はじめに Web API のセキュリティ周りについて調べていると、 「OAuth 2.0」や「OpenID Connect」という単語をよく見かけると思います。 さらに調べると、「アクセストークン」と「IDトークン」という単語に出会いました。 しかし、この2つのトークンの違いについて、 いまいち理解ができていなかったので、今回は両者の違いを調べてみました。 加えて、トークンについて調べる中で、 OpenID Connectが生まれた経緯も知ることができたのでメモしておきます。 2つのトークンの違い アクセストークン と IDトークン、両者は役割が大きく異なります。 アクセストークン:認可(リソースへのアクセスコントロール=あるリソースへの権限(readやwriteなど)を持っているかどうか確認すること) IDトークン:認証(その人が誰かを確認すること) 名前のままでした。 認可に使うための
認証規格まとめ 2021年版 - OpenID Connect & FIDO と OAuth 2.0 や SAML との違い - RAKUS Developers Blog | ラクス エンジニアブログ
こんにちは。 株式会社ラクスで先行技術検証をしたり、ビジネス部門向けに技術情報を提供する取り組みを行っている「技術推進課」という部署に所属している鈴木(@moomooya)です。 ラクスの開発部ではこれまで社内で利用していなかった技術要素を自社の開発に適合するか検証し、ビジネス要求に対して迅速に応えられるようにそなえる 「技術推進プロジェクト」というプロジェクトがあります。 2021年度は通年で「ユーザー認証」について取り組んでいるので、途中ではありますが紹介したいと思います。 ■ 昔ながらの認証 設計概要 クレデンシャル情報の保持 認証処理 問題点 ■ 用語解説 ■ 認証に関する仕様 OpenID Connect OpenID ConnectとOAuth2.0の違い OpenID ConnectとSAMLの違い FIDO 2.0 OpenID ConnectとFIDO2.0の位置関係 F
いろんなアイデンティティ管理系製品やサービスの実験の記録をしていきます。 後は、関連するニュースなどを徒然と。 こんにちは、富士榮です。 OpenID Providerを自前で実装する際の悩みポイントの一つが認可コード、アクセストークンをサーバ側でどの様に保存するか、という問題です。 どういうことかというと、認可コードを発行するタイミングで通常はユーザの認証を行うわけですが、そのタイミングで認証済みユーザの属性情報を取得しておいて認可コード、アクセストークンと紐づけてテーブルに保存をしておく方が実装は簡単になる一方で、最新のユーザ情報をuserInfoから取得したい場合の対応が結局必要になったり、ユーザの削除の検知のメカニズムの実装が必要になる、という話です。 ちなみに、認可コードやアクセストークンをサーバ側で一定期間保持をし続けるための実装がOpenID Providerの可用性やスケー
はじめに 本記事では、Open ID Connectの概要に関して解説を行い、Oktaとの関係性を簡単に紹介します。今後、アプリに対するOpen ID Connectの実装/活用方法に関して深堀した情報を提供していきますのでご期待ください。 (本記事でのOAuthの記載はOAuth 2.0を意味します。) OAuthとOpen ID Connect さっそくOpen ID Connectの解説に入りたいところですが、その前にOAuthについて触れます。 Open ID Connectは、OAuthの拡張仕様のため、OAuthについて理解するとOpen ID Connectも理解しやすいです。 OAuthはもともと認可のために制定されたプロトコルであり、Open ID Connectではユーザー認証として活用できるように拡張されました。 認証と認可 まずは、認証と認可について見ていきます。認
概要 PythonでTwitter連携を実装しようとしてみたところ、あんまり例がなかったのでつくってみました ドキュメントを読めば分かるという人はこちら → Implementing Sign in with Twitter ざっくりいうと、こういうやつのこと 流れ Twitterのアプリを作成する リクエストトークンを取得して連携画面のURLを生成する 連携後のパラメーターを使ってアクセストークンを生成する アクセストークンを使ってユーザーのツイートを取得する Twitterのアプリを作成する Twitter Application Management の右上の"Create New App"からアプリを作成します Name, Descripiton, Website は適宜入力してください(認証画面に表示される内容です) CallbackURLsに連携ボタンを押した後に遷移するURL
![[Python] OAuth認証でTwitter連携/ログインを実装する - Qiita](https://cdn-ak-scissors.b.st-hatena.com/image/square/6f9aa7c76d1f130ee1edfc83c3f561eb71914af4/height=288;version=1;width=512/https%3A%2F%2Fqiita-user-contents.imgix.net%2Fhttps%253A%252F%252Fcdn.qiita.com%252Fassets%252Fpublic%252Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png%3Fixlib%3Drb-4.0.0%26w%3D1200%26mark64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZ0eHQ9JTVCUHl0aG9uJTVEJTIwT0F1dGglRTglQUElOEQlRTglQTglQkMlRTMlODElQTdUd2l0dGVyJUU5JTgwJUEzJUU2JTkwJUJBJTJGJUUzJTgzJUFEJUUzJTgyJUIwJUUzJTgyJUE0JUUzJTgzJUIzJUUzJTgyJTkyJUU1JUFFJTlGJUU4JUEzJTg1JUUzJTgxJTk5JUUzJTgyJThCJnR4dC1jb2xvcj0lMjMyMTIxMjEmdHh0LWZvbnQ9SGlyYWdpbm8lMjBTYW5zJTIwVzYmdHh0LXNpemU9NTYmdHh0LWNsaXA9ZWxsaXBzaXMmdHh0LWFsaWduPWxlZnQlMkN0b3Amcz02NDEyOWE2NThiMjk3NzJhNTI1ZjJmOTU3MzNlODkwYw%26mark-x%3D142%26mark-y%3D112%26blend64%3DaHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwbWlrYW4zcmQmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT0zNiZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTE5MTFlZjYxZDQ3NTRmYzE2NDlmZTk1NWJkYmYwNzlj%26blend-x%3D142%26blend-y%3D491%26blend-mode%3Dnormal%26s%3D8b63318ab4dcdb86a39e9078bf5216d4)
Auth0経由でGoogleログインしたユーザーでAWS AppSyncへ接続するサンプルアプリをReact Nativeで作ってみた | DevelopersIO
Auth0経由でGoogleログインしたユーザーでAWS AppSyncへ接続するサンプルアプリをReact Nativeで作ってみた 最近React Nativeを触る機会があったので、簡易的にまとめてブログ化してみました。 ちなみに私はUnbuntu20.04を利用しているため、Androidのみでの作業となりますのでご了承ください。 構成図 Auth0経由でGoogleログインしたユーザーが、AppSync経由でDynamoDBに入っている一覧データを取得します。 事前準備 事前にReact Nativeの環境構築を行う必要があります。 公式ドキュメントを参考に済ませておいてください。 Auth0でApplicationの登録とサンプルアプリの起動 Auth0ダッシュボードの「Applications」から「CREATE APPLICATION」をクリックします。 アプリケーション名
Why is OAuth still hard in 2023?We implemented OAuth for the 50 most popular APIs. TL;DR: It is still a mess. OAuth is a standard protocol. Right? And there are client libraries for OAuth 2.0 available in basically every programming language you can imagine. You might conclude that, armed with a client library, you would be able to implement OAuth for any API in about 10 minutes. Or at least in an
🐼はじめに この世にはソーシャルログインというものがある。 「GoogleIDでログイン」「TwitterIDでログイン」「FacebookIDでログイン」と言ったもので、 既に様々なサイトで利用されている。 今回は「DiscordIDでログイン」が実装できるように頑張りましょう。 更新 2023/02/02 更新 参照 Discord公式リファレンス 目次 Discord Developer Portal にてApplicationを登録 「CLIENT ID」「CLIENT SECRET」を取得 Oauth用URLを作成 作成したURLを実行し「code」を取得する 「code」を「token」に変換する 「token」と共にアクセスしユーザ情報を得る リフレッシュトークンでアクセスしアクセストークンを再取得する Discord Developer Portal にてApplicat
8.x Laravel Sanctum Laravel
イントロダクションIntroduction Laravel Sanctum(サンクタム、聖所)は、SPA(シングルページアプリケーション)、モバイルアプリケーション、およびシンプルなトークンベースのAPIに軽い認証システムを提供します。Sanctumを使用すればアプリケーションの各ユーザーは、自分のアカウントに対して複数のAPIトークンを生成できます。これらのトークンには、そのトークンが実行できるアクションを指定するアビリティ/スコープが付与されることもあります。Laravel Sanctum[https://github.com/laravel/sanctum] provides a featherweight authentication system for SPAs (single page applications), mobile applications, and simpl
OpenID Connect の Shared Signals and Eventswatahani10 MinutesDecember 9, 2020 本記事は Digital Identity技術勉強会 #iddance Advent Calendar 2020 9日めの記事です。 最近プレビューとして実装された Azure AD の CAE という機能がある。 ポリシーとセキュリティのリアル タイムな適用に向けて | Japan Azure Identity Support Blog 何のための機能かもともと Azure AD で発行されるアクセス トークンは内包型トークンで、Azure AD の秘密鍵で署名されている。そのため RP はユーザーが提示したトークンについて、Azure AD に通信を行うことなく署名とクレームを検証することで正当性を確認できる。これは逆に言うとクライア
■ はじめに 本書は Auth 屋の「雰囲気 OAuth シリーズ」第三弾であり、OAuth と OpenID Connect への攻撃と対策についての本です。攻撃全般ではなく、攻撃対象として一番狙われる「リダイレクト 部分への攻撃」に特化した内容になっています。リダイレクト部分への攻撃の仕組 みと、state、nonce をはじめとした対策についての仕組みを理解すれば、雰囲気 OAuth使い を脱したと言えるでしょう。 ■ 想定読者 • OAuth・OIDC について用語、概念、仕組みはだいたい理解してる(Auth 屋 の前著は読んだ!) • state、nonce、PKCE、c_hash、at_hashは聞いたことはある。理解はして ない。 • クライアント、リライング・パーティとしてアプリを作るかもしれない もし OAuth・OIDC についての理解があ
この記事は個人ブログと同じ内容です 【読書メモ】「成長する企業はなぜ SSO を導入するのか」 --- 最近チームのメンバーが誕生日で、よくバラエティ番組で流れる曲「Happy Birthday - Stevie Wonder」が頭から離れない sekitats です。 今月は個人的に認証について学ぶ月間で、本を3冊読みました。認証周りわからんことばかりだったので。 「雰囲気で使わずきちんと理解する!整理して OAuth2.0 を使うためのチュートリアルガイド (技術の泉シリーズ(NextPublishing)) Auth 屋」 「「Auth0」で作る!認証付きシングルページアプリケーション (技術の泉シリーズ(NextPublishing) 土屋 貴裕) 「成長する企業はなぜ SSO を導入するのか」日本ヒューレット・パッカード株式会社 OAuth については、別記事を書いてみたのでそち
OAuth 2.0 with Spring Security #jjug_ccc #jjug_ccc_b / oauth2-with-spring-security
JJUG CCC 2020 Fallでの講演資料です。Spring SecurityのOAuth 2.0機能について解説しています。OAuth 2.0自体は理解している前提の、中級者向け資料です。
PKIプログラマがまとめた電子認証入門です。専門外なので間違いがあるかもしれませんが、自分の理解をまとめたものです。オープンな勉強会用に更新した改定2版となります。Read less
OAuth 2.1 のドラフトから OAuth 2.0 のプラクティスを学ぶ - VA Linux エンジニアブログ
はじめに OAuth 2.0 と OAuth 2.1 の違い 1. Authorization Code grant フローでは PKCE を標準で使用する 2. リダイレクトURIの検証は文字列の完全一致で行わなければならない 3. Implicit grant フローは仕様から除去される 4. Resource Owner Password Credentials grant フローは仕様から除去される 5. Bearer トークンをURIのクエリ文字列として渡す方法は仕様から除去される 6. パブリッククライアントでは、リフレッシュトークンを利用できる送信者または利用回数を制限する 何をしないといけないか 執筆者 : 山下雅喜 はじめに OAuth 2.0 が RFC 6749 (The OAuth 2.0 Authorization Framework) としてリリースされてから1
はじめまして。2019年の2月にOpenID Foundationの企業理事になりました柴田と申します。企業理事と言ってもまだまだ不慣れですが、微力ながらOpenIDの普及を通じて企業も利用者も安心してインターネットサービスが利用できる環境の実現に貢献していきたいと考えています。 さて、2019年5月13日~17日、ドイツのミュンヘンにて世界最大級のIdentity系カンファレンスであるEuropean Identity & Cloud Conference 2019が開催され、私も参加してきました。 そこでは、Identity関連の有識者からさまざまな興味深い技術やユースケース、法制度の整備状況などが紹介されたのですが、OpenID Foundationからも現在の活動状況が紹介されました。 既に様々なところで活用されている「OpenID Connect」ですが、まだまだ新しい仕様や認定
OAuth で state パラメーターを使わなかった場合に起きうることの例 - dodosuke0920’s blog
Authlete Inc. で事業開発(営業)を担当している 岸田 と言います。前回、イギリスの銀行 API での UX について翻訳してみましたが、今回はもう少し技術よりの話をしたいと思います。 先週、社内の Slack 上で、下記のブログが流れてきました。 medium.com API を公開するサービス自体の脆弱性と、API を利用する側の実装不備を利用した攻撃に関してです。今回の話の中心である state パラメーターについては、その必要性含めいろいろお問合せいただくことも少なくないですし、また、私自身ちょっと理解するのに苦労したので、簡単にまとめてみたいと思います。 報告されている脆弱性 ブログで報告されている脆弱性をまとめるとこんな感じです。 OAuth 2.0 を実装し、API 経由で別サービスにファイルを共有可能なサービスを想定する。そのサービスでは、{{construct
EC-CUBE4のGraphQL APIをいじってみた - EC-CUBEのカスタマイズ、ネットショップ制作メモ
今回はゴリゴリの技術系の記事です。 合同オンライン勉強会でネタにしたEC-CUBE4のGraphQL APIがうまく動かなかったので、再度自分の環境を構築して色々やってみました。 note.com なお、この作業をやるまで筆者はGraphQLの知識はありましたがOAuth2の知識はあまりありませんでした。OAuth2の良い勉強になりました... GraphQL APIが動く環境をまず準備 勉強会の時に用意してもらった環境でうまく認証ができなかったので、その辺りのデバッグをするためにもとりあえず自前の環境にAPIが動いてるEC-CUBE4を準備します。 EC-CUBE4カスタマイズの お問合せはこちら インストール とりあえずgithubからAPIのブランチをチェックアウト。 管理画面にログインしようとするとエラー Key path "file:///var/www/html/var/oau
はじめに OmniAuthの公式のwikiを読んで学習した内容を備忘録としてこちらに投稿します。 OmniAuthって? Deviseのバージョン1.2から追加された、OAuthに関するモジュールのこと。 このモジュールを利用すれば、twitterやfacebookといったプロバイダーに登録されている情報でユーザー認証を行うことができます。 Before you start config.omniauthは、アプリケーションにomniauth プロバイダーのミドルウェアを追加します。これは、config/initializers/omniauth.rbにconfig.omniauthを記述するべきではないことを意味します。なぜなら、そうしてしまうとお互いのomniauth プロバイダーのミドルウェアが衝突し、認証ができない事態に陥ってしまうからです。 config/initializers
Flask とPyJWTを使用してGoogleとのOpenID連携するためのAPI作成方法についてメモする。 連携処理をバックエンド側に持たせたかったため、Docker起動できる形で過去に作成した検証コードをAPI化した。 作成するAPI 認可リクエスト作成API Googleへの認可エンドポイントへアクセスするためのURLをパラメータをつけて生成・返却する。 state,nonceはAPI呼び出し時に生成し、レスポンスとして返却する。 client_idなど固定の属性値は環境変数から取得する。 リクエスト例
You probably do not need OAuth2, nor OpenID Connect. This is a controversial opinion, even more so because my biggest professional achievements are two of the most successful open source projects in the OAuth2 and OpenID Connect world: Ory Hydra (started in 2015)Ory Fosite (started in 2016)Those two projects helped spawn a company that raised series A and an open source ecosystem used by millions.
2019/4/23に開催されたdidconの資料。 Decentralized Identifier、Self Sovereign Identity周りの背景や関連仕様、Blockchainとの関係性についてお話しました。 https://idcon.connpass.com/event/126296/
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
OAuth2.0とOpenID Connect�の概要 - Qiita
Go言語でAPIクライアントライブラリを実装する - Qiita
Full Stack Java with React, Spring Boot, and JHipster
OpenID Connect, ふたつのトークンの物語
2023年版 Twitter API v2を無料で叩く (OAuth 2.0 with PKCE)
アマゾン ウェブ サービスでの OpenID Connect の構成 - GitHub Docs
新しい Spring Authorization Server について - Qiita
REST APIを使ってSalesforceのデータを取得する - Qiita
OAuth・OIDCへの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編 [2023年改訂版] - Auth屋 - BOOTH
【OAuth 2.0 / OIDC】アクセストークンとIDトークンの違い + OIDC誕生の歴史
IDトークン発行のタイミングで認証済みユーザの情報をどこまで保存するか
Open ID Connectとは?概要とメリットを解説! - セキュリティ事業 - マクニカ
[Python] OAuth認証でTwitter連携/ログインを実装する - Qiita
Why is OAuth still hard in 2023? | Nango Blog
「DiscordのIDでログイン」を実装する(Oauth2) - Qiita
OpenID Connect の Shared Signals and Events
OAuth・OIDCの攻撃と対策を整理して理解できる本(リダイレクトへの攻撃編):Auth屋
【読書メモ】「成長する企業はなぜ SSO を導入するのか」 - ROXX開発者ブログ
今更聞けない電子認証入門 -OAuth 2.0/OIDCからFIDOまで- <改定2版>
OpenID Connect入門|デジタル・ビジネスのキーテクノロジー最新動向
OmniAuthの公式のwikiを読んでみた。 - Qiita
Flask、PyJWTを使用したGoogle OpenID 連携用API作成 メモ - Qiita
Why you probably don't need OAuth2 / OpenID Connect!
次世代KYCと自己主権型アイデンティティの動向