OAuthのセキュリティ強化を目的とする拡張仕様を導入しました - mixi engineer blog
こんにちは. 研究開発グループ ritouです. だいぶ前の記事で紹介したとおり, mixi Platformは様々なユーザーデータをAPIとして提供するにあたり, リソースアクセスの標準化仕様であるOAuth 2.0をサポートしています. mixi PlatformがOAuth 2.0の最新仕様に対応しました | mixi Engineers' Blog mixi Platformをさらに安全にご利用いただくため, OAuth 2.0におけるCSRF対策を目的とした拡張仕様を検討, 導入しましたので紹介します. OAuth 2.0の認可フローとCSRF エンジニアの方であれば, Webサービスに対するCSRF(Cross-site Request Forgery)をご存知でしょう. CSRF攻撃とは悪意のある外部サービスへのアクセスや特定のURLへの誘導などをきっかけとしてユーザーの意図
特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife
こんにちは、ritouです。 やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。 何の話か mixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっかいな問題が残ってました。 今回は、「ネイティブアプリケーションからOAuth 2.0を使うとき、特定の条件下において、正規のClientではない悪意のある第3者に認可応答を持って行かれて、その結果Access Tokenを取得できちゃうリスクがあるよね。どうしようか。」っていう話です。 条件っていうのは、 OAuth 2.0のClientはネイティブアプリケーションであり、Client C
認可のためのプロトコルのOAuthが認証に使えることの説明
最近、「Facebookのことが分からないので教えてください」とよく頼まれます。ごめんなさい、嘘を言いました。よく、は頼まれません。よくある、とか、しばしばある、は実体以上に良く見せようとする時に使う常套句です。気をつけて使おうと思います。 それはともかくとして。 Facebookは確かに難しいです。REST API(名前がRESTですがまったくRESTfulではないWeb API)からGraph APIへの変遷、FBMLからXFBML(参照)への変遷、そしてXFBMLの存在を隠蔽するプラグインへの変遷、更に今をときめくLikeボタンからDislikeボタン()への変遷、など諸々まとめて、「Facebook vs. OpenSocial」のお題で社内勉強会をしようと思っています。 しかし内容が多すぎるので、これらの技術の中で基盤となるOAuth 2.0(まだドラフト段階です)を取り出して、
TM's Workspace - Play FrameworkでOAuth認証利用 その1:Twitter
最近、プライベートを圧迫していた急ぎの仕事が一段落したので、MA7の興奮が冷めないうちにPlay Frameworkを使って何かWebサービスを制作したいと考えています。 何を作るかはまだ何も考えていないのですが、下準備としてPlay FrameworkでのOAuth認証を実装していきたいと思います。 まずはTwitterアカウントによる認証を実装します。 → サンプルページ 1.事前準備 /conf/application.conf の85行目 #db=mem のコメントアウトを解除します。 2.Twitter TwitterアカウントによるOAuth認証を実装します。 TwitterのOAuth認証は、Playの配布物にサンプルプロジェクトが含まれているので、特に悩む所もなく、簡単に実装できました。 1)アプリケーションの登録 TwitterのMy Applicationsで、ア
OpenID Connectを体験できるデモ環境の紹介 - r-weblife
こんばんは、ritouです。 最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。 OpenID Connect Sample OP まずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。 http://oauth.jp/openid-connect-rubygem OpenID Connect の OP & RP 用の RubyGem をリリースしました。 https://github.com/nov/openid_connect 同時にサンプル OP サイトも公開しました。 サイト: https://openid-connect.herokuapp.com/ ソース: https://github.com/nov/openid_connect_sample このサンプルOPはFacebook/Googleの
SocialWeb Conference vol.6で発表しました! #swj - r-weblife
http://groups.google.com/group/socialweb-japan/web/socialweb-conference-vol-6-oauth-night Technical documentation, API, and code examples | Microsoft Docs : キーワード http://search.twitter.com/search?q=%23swj : いつまで残っているのかハッシュタグ 発表で使ったスライドはこちらです。 OAuth 2.0 Dance School #swj View more presentations from ritou. 自分の発表内容について こんな感じで考えていました。 ターゲットをOAuth 2.0の中心のみに絞り、2つのProfileをまずは紹介。gdgdになることは予想済。 WGで議論中の多少マ
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
第1回 OAuthとは?―OAuthの概念とOAuthでできること | gihyo.jp
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
