単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
CakePHP で OAuth 認証を使ったログイン認証・保持や会員データの保持・更新をするコード
CakePHP で OAuth 認証をしてログインなどをしたり、会員データをデータベースに持っておく仕組みを作る際のサンプルを紹介します。CakePHP 1.3 での動作確認をしています。今後出てくる CakePHP 2.x 系では動作確認しておりませんのでご了承ください。 cakephp用OAuth認証ライブラリをつかってみた – メガネ女子(21)のメモブログ TwitterのOauthを使ってCakePHPのAuthコンポーネントにログインさせる – kur.jp CakePHPでTwitterマッシュアップを作る#4 – BUENA VISTA SOCIAL BLOG OAuth 認証ライブラリを組み込み 以下のページより OAuth のライブラリを読み込みます。 OAuth consumers for CakePHP – by cakebaker このファイルを vender/
OAuth 2.0でWebサービスの利用方法はどう変わるか(3/3)- @IT
作成したアプリの「Web Site」の編集画面を開くと、「アプリケーションID」と「シークレットキー」が表示されます。それが、OAuth 2.0のclient_idとclient_sercretです。サイトURLには、クライアントアプリのURLを指定します。これにより、このURLからのリクエストしか受け付けなくなり、フィッシングなどを防げます。この機能も、OAuth 2.0では仕様として定義されています。 FACEBOOK_APP_ID = "9999999999999" FACEBOOK_APP_SECRET = "abcdefghijklmnopqrstuvwxyz1234567890" class FacebookHandler(webapp.RequestHandler): def get(self): verification_code = self.request.get("c
これは要チェック。OAuthプロバイダ実装のノウハウをコードから知る「OAuth Provider Demo」 | MOONGIFT | オープンソース・ソフトウェア紹介を中心としたITエンジニア/Webデザイナー向けブログ
OAuth Provider DemoはRails3で実装された、OAuthプロバイダのデモプログラム。 [/s2If] OAuth Provider DemoはRuby on Rails3製のフリーウェア(ソースコードは公開されている)。WebサービスでWeb APIを公開することは決して珍しいことではなくなっている。そして最も多いのは手軽に利用できるRESTfulのものが多い。 ユーザ情報のJSON そんなWeb APIを提供する場合、認証についてはOpenIDを使うのがセキュリティ的にも安心できる。そして各機能についてはOAuthを使うのが良い。そうすればアプリケーションにパスワードを保存しなくて済む。その時の参考になるのがOAuth Provider Demoだ。 個人的にこれはかなり欲しかったソフトウェアだ。OAuthを利用する側のライブラリは数多いが、提供する側のやり方について
OAuth Multiple Access Tokenってどうなんでしょうか - r-weblife
@mad_pさんがまとめてくださったエントリを読んで、今回のネタを決めました。 #idcon8レポート - mad-pの日記 * サービス上ではリソースの機密性に合わせてセキュリティーも変えられるが、APIだと難しい * → OAuth Multiple Access Token * scope, tokenを空白で区切って並べる #idcon8レポート - mad-pの日記 真武さん: Multiple Access Tokenについて: scopeひとつに対してひとつトークンが来るの? 誰がまとめるのかどうか * Y!ではconsumer keyと結びついている * 真: OAuth2だとtoken要求時にscopeを送るし、複数のscopeをグルーピングしないと使えないAPIもある。Facebookもリストで送る。twitterもコンシューマキーに結びついている #idcon8レポー
OAuth 2.0周りの仕様ドキュメントについて - r-weblife
気になってる方々、最新のSpecはこの辺ですよ。http://tools.ietf.org/id/oauth http://tools.ietf.org/html/draft-ietf-oauth-v2 : The OAuth 2.0 Protocol こいつの説明はやめときます。 http://tools.ietf.org/html/draft-recordon-oauth-v2-device : OAuth 2.0 Device Profile OAuth Core 1.0a で定義されているフローはwebとclientの2つなわけです。 1.0aのClientのフローなんて手動のToken入力なんかが必要なので、まぁ使われないだろうなーとおもいつつ[Yahoo! JAPANではしの仕様に対応している|http://techblog.yahoo.co.jp/web/openid/oau
はてなブログ | 無料ブログを作成しよう
来年も作りたい!ふきのとう料理を満喫した 2024年春の記録 春は自炊が楽しい季節 1年の中で最も自炊が楽しい季節は春だと思う。スーパーの棚にやわらかな色合いの野菜が並ぶと自然とこころが弾む。 中でもときめくのは山菜だ。早いと2月下旬ごろから並び始めるそれは、タラの芽、ふきのとうと続き、桜の頃にはうるい、ウド、こ…
OAuth 2.0の概要 - r-weblife
Eran がエントリ書いてました。 http://hueniverse.com/2010/05/introducing-oauth-2-0/ 今回の内容は翻訳ではありません。 読みながら感じたことを書き連ねたものです。 ■ なぜ新しいバージョンを考え始めたのか?OAuth 1.0aの課題 Eranは3つのポイントを挙げています。 Authentication and Signatures OAuthの実装にわずかでも関わった開発者が感じるのは、署名が面倒だということではないでしょうか? twitterでBasic認証からOAuth/xAuthへの移行に苦労されている開発者の方もいると思いますが、やっぱり工数かかりますよね。 (まぁ、それでも独自でSP達が全部考えた仕様にかなり作りこんで対応するよりは、まだましかとおもいますけど?) これを、HTTPSを使ってSecretそのままでとことん簡
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WordPress(ワードプレス)のトラブル・カスタム・ウェブマーケティングの相談など|WordPressのお医者さん