タグ

ブックマーク / ritou.hatenablog.com (5)

  • RFC7662として発行されたOAuth Token Introspectionとは - r-weblife

    こんばんは、ritouです。 今回紹介する仕様は、RFC7662 OAuth Token Introspectionです。 RFC 7662 - OAuth 2.0 Token Introspection ざっくり言うと Token Introspectionとかいうと、Token置換攻撃対策としてのClient-AuthZ Server間のAccess Token検証を想像する方もいるかもしれませんが、この仕様はそれとはあまり関係ありません。 この仕様はOAuthのProtected Resourceのための仕様です。 RFC 6749 - The OAuth 2.0 Authorization FrameworkのRoleのところには、resource serverがprotected resourceをホストしていて、 access tokenを用いたリクエストを受ける、とあります。

    RFC7662として発行されたOAuth Token Introspectionとは - r-weblife

  • なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife

    こんばんは、ritouです。 Twitterの問題が発覚した際、こんなgistも書きました。 gist:5053810 · GitHub 今朝、こんなTweetしました。 https://twitter.com/ritou/status/317429458657222657:twitter:detail:left gistに書いた通り、私の考える今回の問題の質はoauth_callbackの管理、その一言に尽きます。他に2legged OAuthが入るとごちゃごちゃするので、OAuth 1.0の実装のポイントについてまとめてみました。 なんとなくOAuth怖いって思ってるやつちょっと来い from Ryo Ito もちろんこれだけではわけがわからないと思うので、説明が聞きたければどこかで話してもいいです。ぜひ声をかけてください。 普段は秋田にいますが、唯一この勉強会にはよく参加しているの

    なんとなくOAuth怖いって思ってるやつちょっと来い - r-weblife

  • OpenID AXのセキュリティ問題をダラダラとつづる - r-weblife

    こんばんは、ritouです。 連休中に、なんかOpenIDとかAXとかなつかしげなネタがふってきたので取り上げます。 Attribute Exchange Security Alert | OpenID Security advisory to websites using OpenID Attribute Exchange - The official Google Code blog いったい何があったのでしょうか。 OpenIDのこと知ってる人向けに簡単にいうと 以下のような場合に、悪い人がレスポンスをいじくって攻撃できちゃうかもねという話ですね。 RPがopenid.signedに含まれていないAXパラメータの値を使ってしまう(ようなライブラリを使っている) シナリオとして、AXで渡されるEmailをユーザー判定に使っているようなRPだとけっこうやばいんじゃないの?みたいなのがあり

    OpenID AXのセキュリティ問題をダラダラとつづる - r-weblife

  • OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife

    そういえば、GoogleAPIもついにOAuth 2.0(たぶんDraft 10相当)への対応が行われたとかで、だいぶ浸透してきた感があるOAuth 2.0ですが、まだ仕様はFixしていません。 というか、仕様がFixしてもその単体の仕様に全ての定義が含まれるということにはなりません。 Access Tokenの形式(Access Token Type)はOAuth 2.0体の仕様ではなく別の仕様になりますし、Access Tokenの取得方法であるGrant Typeについても拡張が許可されています。 今回は、新しいGrant Type仕様が提案されたというので調べてみました。 まずはブログエントリについて Independent Identity: OAuth: New Chain Grant Type "Chain"という、OAuth 2.0のgrant typeが提案されていま

    OAuth 2.0で最近提案された"Chain" Grant Typeについて調べた - r-weblife

  • OpenID Connect Core draft 01の内容をななめ読み - r-weblife

    [Openid-specs-ab] Connect-core and Connect-AB OpenID Connect/AB周りの仕様について、さっぱりMLに貢献できておりませんが、少しでも近況を多くの人に広めて良いものができる手伝いができればと思っています。 今回は、"OpenID Connect Core 1.0 draft 01"です。 名前の通り、Coreということで用語やフロー、やりとりされる内容が定義されています。 Terminology OAuth 2.0の用語に加えて、OpenID関連の以下の用語が加えられています。 OpenID Provider (OP) : OpenID ConnectのメッセージをサポートするAuthZ Server Relying Party (RP) : Client と Resource Servers(?) OP Endpoints : A

    OpenID Connect Core draft 01の内容をななめ読み - r-weblife
  • 1

お知らせ

もっと読む

公式Twitter

  • @HatenaBookmark

    リリース、障害情報などのサービスのお知らせ

  • @hatebu

    最新の人気エントリーの配信

はてなブックマーク

公式Twitter

はてなのサービス

  • App Storeからダウンロード
  • Google Playで手に入れよう
Copyright © 2005-2024 Hatena. All Rights Reserved.