OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
一番分かりやすい OAuth の説明 - Qiita
はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の資金調達!→『AUTHLETE 凸版・NTTドコモベンチャーズ・MTIからプレシリーズA資金調達』(2018 年 2 月 15 日発表) 説明手順 (1)ユーザーのデータがあります。 (2)ユーザーのデータを管理するサーバーがあります。これを『リソースサーバ
「GoogleがGmailの内容を外部企業に読ませている」という記事について - @stomita daily (or monthly, yearly)
Forbes Japanに以下のような記事が掲載された。 forbesjapan.com これについて記事を読んだ人たちのTwitter等での反応を見ていたのだけれど、その反応にちょっと違和感を感じたので、今回少し書いている。 まず最初の反応として、NewsPicksでのコメントを見てみる。 newspicks.com 「メール内容を読ませていいと同意した覚えはない」というコメントが多く、そこから転じて「Gmailは守秘が必要な用途で使うべきでない」「無料のサービスを使うということはこういうことなんだ」のような意見も見られる。 一方、はてブでの反応は、流石に技術者が多いコミュニティということもあり、ちょっと調子は異なっている b.hatena.ne.jp 何事かと思ったらOAuthのことだったw - gogatsu26のコメント / はてなブックマーク OAuth2で同意とってるなら普通じ
OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も
OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Technological University(南洋理工大学)で学ぶ博士課程の学生Wang Jing氏は、「Covert Redirect」という深刻な脆弱性によって、影響を受けるサイトのドメイン上でログイン用ポップアップ画面を偽装できることを発見した。Covert Redirectは、既知のエクスプロイトパラメータに基づいている。 たとえば、悪意あるフィッシングリンクをクリックすると、Faceboo
もふったーがハッキングされたので、本気でプロテクトかけてみた - Windows 2000 Blog
もふったーをハックしたら予想以上に酷かった件Add Star TweetDeck をハックしたら予想以上に酷かった件 TweetDeckの一件がある前から、もふーったは、簡単なハッシュしかかけてないので、メモリダンプしたら解析されるので、正式版で、コンシューマキーのプロテクト実装するって話をしてたわけですが、案の定ハックされたので、予定を前倒しにして、プロテクトかけたアルゴリズムを実装したバージョンに差し替えることにしました。 少なくとも、メモリダンプ程度の解析ではわからないようにしました・ω・ コンシューマキーも変更した物を使用してるので、再認証が必要です。 よろしくお願いします。 バージョンはv0.9.6bとなります。 Twitter Client Mo-Footer(もふったー)開発計画【BM】
もふったーをハックしたら予想以上に酷かった件 - kusano-k’s blog
TweetDeck をハックしたら予想以上に酷かった件 - Windows 2000 Blog もふったーの作者が、TweetDeckがConsumer keyとConsumer secretを平文で持っていることを批判していたので、もふったーはどうなっているのか調べてみた。 もふったーをインストールする Immunity Debuggerをインストールする Immunity Debuggerでもふったーを開き、下の画面のようになるまで、F9を押して実行する CPUウィンドウの左上の欄で右クリック → Search for → All referenced text strings 出てきた画面で右クリック → Search for text → 「consumer_key」で検索 oauth_consumer_keyをダブルクリック → F2を押してブレークポイントを設定 → F9を押し
【拡散希望】twitterの新型ウイルスがヤバい URL踏んだだけでアウト
2020/10/18 エンジニア D4DJ Groovy Mix オープンベータ開始 2020/10/18 DJ 秋葉原(を夢見る)パラダイスレイディオ Vol.1 @ twitch配信 2020/10/25 エンジニア D4DJ Groovy Mix リリース 2020/11/14 DJ UNDER Freaks 2nd anniv. @ 渋谷Cafe W (渋谷WOMB 1F) (2013/03/01 14:40追記) twitter側で、このタイプのウイルスへの対策が取られ、「URLを踏んだだけでアカウントを乗っ取られる」という脅威は無くなりました twitterに出現した新型ウイルスが非常にヤバいので、対処法などをまとめてみました。 #正しくはウイルスではなく「攻撃サイト」ですが、脅威が伝わりづらいので釣り気味に「ウイルス」と書いてます。 (2013/02/28 23:08追記):
「ちょっとこれみてくれない」とurlを送るスパムDMの解析と解説
あの、ちょっと厄介なことがありまして。 いつもどおりのフィッシングサイトだと思ってたんですよ。 ...と思ってたら違ったのでまとめました。 スクリーンショットなどありますが、その中のURLには絶対にアクセスしないでください。 まず被害に遭わないために必要なことと被害に遭ったら必要なこと。 いろいろなページを見てみたところ、すこし違う点があったのでまとめさせていただきました。 k5342 @k5342 スパムDMの対策 ・興味本位にURLを開かないこと ・パスワード変えるとか結果無意味、アプリ連携を解除すること ・それスパムじゃない?って聞いてあげるのも効果アリ(そのときに解説サイトのURLを貼らないように) 2013-03-01 18:56:04
"gauth" GoogleAccountでいっちゃんいけてる認証方法を考えたよ - d_sakの^^
1月28日に開催された「第2回PHP初心者勉強会」のLTで発表してきたgauthについて、詳しく説明したいと思います。 発表資料http://www.slideshare.net/dai861/gauth 背景インターネット屋さんをしていると、 管理画面とか、売上票とか、なんちゃらツールとか、 管理・運営専用で、一般には公開したくないものってたくさんつくりますよね。 みなさんはどんな方法で鍵をかけてますか? BASIC認証? IP制限? wordpressみたいなユーザー管理機能を構築する? 小規模なツール程度のものに対して、 ・社内の人間だけがアクセスできるようにとか ・自宅でも使いたいとか ・退職者からは隠したいとか こういう大人の事情が入ってくると、いちいちめんどくさいです。 いまどきOAuthやで昨今、twitterやfacebookのOAuthで登録やログインができるのが標準にな
この先生きのこるには
ちょっとずつ複雑なことをやっていっているのですが、正直まだ自分で作っていくイメージがついていません。 加速と減速=イージングタイムラインパネルのフレーム数がでてるとこの下のスライダーでワークエリアの幅を操作できるグラフエディターというのが存在する。値グラフと速度グラフ。グラフを編集するときに触るのはハンドルだけイージングの速度が早くてコマが見える時はモーションブラーをかける(13:40)モーションブラーは色々ごまかせてしまうので最後につけたほうがいい。処理が重いから最初のほうでつけるとプレビューのときにしんどいとかもある(ただプレビューのときだけオフにするとかもできる)
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
TwitterでOAuth認証を行う(3:Access Tokenを取得する) | TechBooster
“TwitterでOAuth認証を行う(2:Twitterの認証ページをブラウザで開く)“ではTwitterの認証ページを表示する所までを 実装しました。 今回はTwitterの認証ページから発行されるIntentから、Access TokenとAccess Token Secretを取得する方法を 紹介します。 Access TokenとAccess Token Secretを使用することで、Twitterの認証ページを経由することなく、アカウントを 使用することができます。 詳細は以下から。 まずはサンプルコードからです。 このサンプルコードは新規に作成するのではなく、”TwitterでOAuth認証を行う(2:Twitterの認証ページをブラウザで開く)“で 作成したCallBackActivity.javaを編集していきます。 CallBackActivity.java publi
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
PECL OAuthならひと癖あるY!JのOAuth 1.0aの実装も簡単っぽい - r-weblife
OAuth 1.0aの実装に悩んだことのあるPHPerのみなさん、こんばんは。 2月になって、デブサミのmixiのなんちゃらやらこういう記事でみんなOAuth 2.0のことが気になってしょうがない今日この頃ですね。 OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT @a_kimuraさんの記事, いいですね。 しかし、今日はOAuth 1.0aの話です。 PHPのOAuth 1.0対応ライブラリ みなさんは、OAuth 1.0aを実装するとき、どのライブラリ/コードを利用していますか? OAuth 1.0での開発を経験された方なら、おそらく誰しも署名と複雑な認証フローには苦しめられたのではないでしょうか? この仕組みが複雑なため、OAuthクライアントを作成するためにはOAuthのライブラリが必須でした。しかし複雑なため、ライブラリにバグが存在することもしばし
PHPでTwitter APIのOAuthを使う方法まとめ
この記事以降 Twitter API の仕様が変わっており、このままでは正しく機能しない場合があると思います。近いうちに今のやり方を書くので、それまで参考程度にご覧ください。 Twitter API の OAuth でひととおりやってみた。 忘れないようにメモ。 大雑把な流れ Twitter にアプリケーションを登録する。 Consumer Key と Consumer secret を取得する。 リクエストトークンを取得する。 認証用 URL を取得する。 ユーザーから承認を受ける(bot の場合は自分でやる)。 アクセストークンを取得する。 API にアクセスする。 以下、やった作業の手順です。 事前準備 HTTP_OAuth を使えるようにする OAuth の通信部分そのものは PEAR の HTTP_OAuth を使うことにしたので これをインストールする。 一番めんどくさい部分を
TwitterのOAuth EchoにおけるDelegatorの作り方 - F.Ko-Jiの「一秒後は未来」
OAuth Echo というのを詳しく説明すると長くなってしまうのですが、簡単に言うと Twitter で OAuth 認証済みのアプリケーションから別の Twitter 連携アプリケーションを利用する際に用いられる認証手段です。 たとえば TwitBird から Twitpic の API を利用して写真を投稿する場合に、「その写真をアップロードしようとしているのは誰なのか?」という問題を解決するために用いられます。 自分が運営している Meity も認証を Twitter に依存しているので API を提供するには OAuth Echo を利用する必要があります。しかも Meity の場合は OAuth Echo における Delegator になるので、Delegator の振る舞いを実装しなければなりません。 で、調べてみると Delegator の実装は意外と簡単。 Consum
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
PHP Master | Understanding OAuth - Tweeting from Scratch, Part 1
http://www.machu.jp/posts/20110722/p01/
adakoda.com