淡々と Twitterクライアントを OAuth に対応させていくよ TwitKit+編 - 知らないけどきっとそう。
TwitKit+ についての情報は更新されていますので 新しいエントリ を参照してください といっても TOBASIC! に対応させるだけですが TwitKit+ – Firefox 向けアドオン 修正箇所 twitter.com -> twitter-basicauth.appspot.com の置換 Ajax で GET すべきところが POST になっていた部分があったので修正 ダウンロード http://ido.nu/ayaya/twitkit+-1.2.2tobasic-old-fx.xpi 使い方 https://twitter-basicauth.appspot.com/ から認可をすませる ユーザ名とパスワードを twitkit+ のサインインのボックスに ctrl-c ctrl-v でコピペする ※モザイクかけるのがめんどくさくなったので撮ったあとパスワード変更してます
ウノウラボ Unoh Labs: JavaライブラリでOAuth認証
みなさん、こんにちは。 7月にウノウに入社しました細川です。 私は、これまでいろいろなオープンソースの恩恵にあずかってきましたが、こちらから貢献をしたことは、ほとんどありませんでした。この記事がお役に立てれば幸いです。 ウノウ入社前にはJavaを主に使っていましたので、今回は、JavaのOAuthライブラリを使う方法について書いてみたいと思います。 OAuthとはOAuthは、セキュアな認証手段として多く使われてきています。 twitterもweb APIの認証手段として採用しています。 OAuthを使った認証を行うことで、ユーザーはアカウントやパスワードを知られることなく、第三者サービスにAPIの使用を許可することができます。また、その認証は第三者サービスに関係なく取り消すことができます。 OAuth Community http://oauth.net/ OAuthコミュニティが各種プ
四時作者の小池です。
四時作者の小池です。面倒だからここに書く。 首記の件はどうでもいいのだけど、 「あ、ちなみにOAuth許可してたらモノにもよるけどアプリケーション側からDMとかも取得できるからね。まあホイホイOAuth登録するんだからDMに住所とかメールアドレスとか大事なこと書いてたりしないとは思いますけどね。」 について。この表現だと誤解を招きそうなので。ユーザーから OAuth 経由での API アクセスを許可されたアプリケーションは、そのユーザーが読むことが出来るデータの全てにアクセスできます。書き込みを許可していればアカウント削除以外のことは大体出来る。 DM を「読む」だけなら OAuth 認可を受けたコンシュマーは誰でもできます。 デスクトップアプリケーションであれば通信を監視すればよいけど、 Web アプリケーションの場合はそれが出来ない(例えば四時と twitter の間で何か通信をしたと
Twitterの連携アプリを「許可する」ボタンのリスク - Zerobase Journal
TwitterのDM(ダイレクト・メッセージ)機能はメールよりも気軽で便利な連絡手段として普及しつつあります。でも、気をつけてください。あなたが技術者のようにTwitterのことを理解していないのであれば、DMが盗み見られる可能性は、おそらくあなたが考えている以上です。 〔2011年5月追記:個々のアプリに対して付与できる権限を、より細かく制御できるようになりました(参照:Twitterブログ: ミッション: アプリ認証でのアクセス権)。さらには連携アプリの一覧画面もありますので、プライバシーに関する機能が充実しました。詳しくはサードパーティアプリケーションとの連携方法もご覧ください。〕 〔註:本稿はなるべく多くの人に読んで頂けるように、易しく書きました。このように「註」欄で詳しい説明を書いていますが、詳しく知りたい人向けですので、読み飛ばして頂いても構いません〕 「DMで大事な話をするこ
OAuth WRAP/2.0 | ゆっくりブログ
意外と知らない人が多いので書いておく。 OAuth 認証において Consumer Secret の漏洩について心配している人が多い。 Twitter API で言うところの Application Type: Client なアプリケーションの場合。 特に、LL(Perl, Ruby, PHP, Python …)で配布する場合。 Consumer Secret は秘匿するべきもので、やはり漏らして良いものではない。 # まぁ、知らないアプリケーションの問い合わせが来ても自己責任だけどね :P そのため、現状ではユーザーごとに Consumer Secret を取ってもらうしかない。 それを改善する手段として、現在 OAuth WRAP/2.0 という仕様が策定されている。 要はリクエストトークンが不要になる。イコール、Consumer Secret も不要になる。 Twitt
xtra/OAuth1.0 - i-revo labs
OAuth Core 1.0 仕様 日本語訳 概要 OAuth プロトコルを使うと、ウェブサイトやアプリケーション(コンシューマ)が、 API経由でウェブサービス(サービスプロバイダ)にある保護されたりソース(情報)にアクセスできるようになります。 またこの際に、ユーザがサービスプロバイダに提出している認証情報(credential)をコンシューマに明かすことなく、 アクセスできるようにします。 平たく言うと、OAuthはAPI認証におけるフリーで汎用的な手法を提供します。 例を挙げるとすると、photos.example.net におけるユーザの認証情報(Credential)を明かすことなく、 印刷サービスサイト printer.example.com (コンシューマ)が photos.example.net(サービスプロバイダ)に保存されている写真にアクセスできるようにする、 といっ
TwitterのOAuth認証を使ったサービスを開発する際の注意 - Sacrificed & Exploited
「OAuth を使ってソーシャル・ネットワーキング Web サイトにアクセスする: 第 2 回: OAuth 対応のWeb 版 Twitter クライアントを作成する」のサンプルをいじくっていて気づいたんですが、TwitterのOAuth認証を使ったサービスを開発する場合、AccessTokenの管理方法に注意が必要です。 あんまり自信がないので、誤りがあればどんどん指摘してください。 以下の条件が成り立つ場合、サービス内でなりすましができてしまいます。 サービス(Consumer)がtwitterIDとAccessTokenをひもづけて保管している。 サービスがブラウザへ渡すcookieにtwitterIDをそのまま保存している ブラウザからサービスへtwitterIDを含むCookieが渡された場合、twitterIDをキーとしてサービス内に保存しているAccessTokenを検索し、
TwitterでxAuthを使う試み - 4403 is written(終了しました)
@自宅(個人の見解に基づいており,所属組織などとは一切関係ありませんし,事実かどうかもわかりません) この世界に希望をもつためには批判し続けることこそが必要だ - Edward W. Said (1935-2003) なにやら2010年6月頃に従来使われていたBASIC認証でのAPIコールができなくなるらしく,OAuthまたはxAuthへの対応が必要となっております.ぶっちゃけ,作っているのはbotなので,OAuthのような仰々しい実装(ぇ)は必要ないので,簡易的なxAuthを用いようと考えました.なお,OAuth対応を行うと60分に350回(将来的には1500回)のAPIコールができるようになるらしい.これはかなり自由度が増します.というわけで,今回はxAuthに対応する話を書いておきます.例によって,実装はPHPです. 参考にしたのはこちら.というか,そのまんまです.OAuth/xAu
PEAR::HTTP_OAuthでxAuth – ぱんぴーまっしぐら
xAuthの申請が通ったので試してみた。 via:ウノウラボ Unoh Labs: PECL::oauthでxAuth require_once 'HTTP/Request2.php'; require_once 'HTTP/OAuth/Consumer.php'; $consumer_key = 'YOUR-CONSUMER-KEY'; $consumer_secret = 'YOUR-CONSUMER-SECRET'; $username = 'YOUR-USER-NAME'; $password = 'YOUR-PASSWORD'; $xauth_access_token_url = 'https://api.twitter.com/oauth/access_token'; $params = array( 'x_auth_username' => $username, 'x_aut
GMail、Yahoo MailがOAuthへ対応。時代遅れのメールは復活できるか?
Yahoo Mail、GMailが相次いでOAuthに対応しました。Yahoo Mailは3月25日、そしてGMailは3月30日に、OAuthに対応したことをそれぞれブログなどで発表しています。 メールはTwitterやGoogle Waveなどの登場で「時代遅れ」なコミュニケーション手段だといわれてはいますが、それでもいまだにネット上でもっとも使われているコミュニケーション手段だといえます。 そのメールのサービスとしてよく知られるGMailとYahoo MailがOAuthに対応したことで、メールがまた見直されるような新たな付加価値サービスが登場するかもしれません。 OAuthはサードパーティにアクセス権を与える OAuth(オース)は、Webサービスをマッシュアップするときに使える認証方式です。例えば、GMailの自分のInboxにアクセスして何らかの操作(例えばメールのバックアップ
OpenID & OAuth 仕様書を日本語に翻訳しました - 京の路
昨年末にOpenIDファウンデーション・ジャパン参加企業の有志数名で翻訳・教育 Working Groupというのを立ち上げて、現在は主にドキュメントの翻訳を行っています。 現在4本のドキュメントの日本語版を翻訳・教育 Working Group のサイトで公開しています。(この記事の末尾にリンクあり) 翻訳後のドキュメント以外に、githubレポジトリも公開しています。forkもpull requestも大歓迎!原文との比較がしやすいように、各翻訳版のXMLファイルにはコメントアウトの形で原文も残されています。 翻訳版ドキュメントへのコメント・質問は翻訳・教育 Working Group のサイトのコメント欄にどうぞ。 OpenID Authentication 2.0 OpenID Attribute Exchange 1.0 OpenID Simple Registration Ex
ウノウラボ Unoh Labs: PECL::oauthでxAuth
yamaokaです。 TwitterのBasic認証によるユーザー認証が6月に廃止されるようですね。 認証はOAuthで行ってください、とのことなのですが OAuthの認証画面を表示するためにブラウザを起動するのがふさわしくないケースや、 そもそも貧弱なブラウザでうまく利用できないケースもあります。 そうした場合の解決方法として、xAuthという仕組みがTwitterに実装されています。 詳しくは次に紹介するweb上の記事を参照してください。 s-take Blog.: Twitterによる簡易版OAuth: "xAuth" OAuthでデスクトップアプリがブラウザを経由させたくないときのxAuth - Codin' In The Free World the.hackerConundrum: Sneak peek at Twitter's browserless OAuth creden
Twitter APIのBASIC認証は2010年6月に「廃止予定」(→8月まで延長)(→廃止された模様)
Twitter APIのBASIC認証は2010年6月に「廃止予定」(→8月まで延長)(→廃止された模様) 2010年01月05日 11:51Twitter 昨年12月にパリで開催されたインターネットのイベント LeWeb’09 で Twitter のプラットフォームディレクターの Ryan Sarver さんが登壇して いくつかの発表を行ったらしいんだけど その中にこういうのがあった。 Twitter Spawned 50,000 Apps To Date, Will Open Up Firehose For More starting Basic Auth decprecation in June 2010. 2010年6月から Twitter API の BASIC 認証が deprecated になるとのこと。 Deprecated というのは「非推奨」「廃止予定」という意味で こ
OAuthと周辺技術の勉強会 — ありえるえりあ
OAuthの典型的シナリオ userがconsumer(Web上のサービス)を利用 userはSP(別のWeb上のサービス)にアカウントを持っている SPは一般にSNSで、userがSP上に蓄積した情報(個人プロファイルや友達リストなど)は原則的にSPの外部に非公開 consumerは、userに許可を得て、SP上の情報を取得する ただし、userはconsumerにSPのパスワードは教えない OAuth 1.0aの動作シーケンス 表記法 リクエストとレスポンスの区別は自明ですが、ひとめで分かるようにリクエストは --> 、レスポンスは ==> にしています。 リクエストやレスポンスペアの上に書いてある数字はOAuth1.0aスペックのセクション番号です。リクエストパラメータやレスポンスの内容はスペックの該当セクションを参照してください。 リクエストやレスポンスペアの下に書いてある文字列は
twitter の OAuth で思ったより豪快に認可してしまっている件 - 知らないけどきっとそう。
忘れたころに追記 API で _twitter_sess は発行されているようですが、web の UI にアクセスはできなくなったみたいです(つまり豪快さは解消されてます) OAuth コンシューマが twitter API にアクセスすると、ブラウザでログインしたときと同様のセッションクッキーが発行されている模様です GET https://twitter.com/account/verify_credentials.xml Authorization: OAuth realm="", oauth_consumer_key="***", oauth_nonce="***", oauth_signature="***", oauth_signature_method="HMAC-SHA1", oauth_timestamp="1253358338", oauth_token="***",
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
ブログ
PHPDeveloper: PHP News, Views and Community
https://www.rfc-editor.org/rfc/rfc5849.txt
http://www.machu.jp/posts/20090801/p01/