OAuthの認証にWebViewを使うのはやめよう
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「Android Twitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「Android Twitter4J」と検索すると,上位にこんなページが出てきます. Twitter4jを使ってOAuth認証をアプリ内で行う方法 Twitter4j-2.2.xを使ったOAuth認証のコーディング例 twitter4jでツイートする Android+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
Using OAuth 2.0 to Access Google APIs - Authentication and Authorization for Google APIs - Google Code
Using OAuth 2.0 to Access Google APIs (Experimental) Caution: Google's OAuth 2.0 support is in an early preview and may change at any time, or as the final specifications evolve. Google supports a recent draft of the OAuth 2.0 protocol with bearer tokens for authorizing access to private user data. The spec is close to settling down, and we intend to update our code to match the final OAuth 2.0 an
のっとったー
のっとったーは,新時代の乗っ取りサービスです. のっとったーを利用して,友達のTwitterアカウントを乗っ取ったり,知らない人にアカウントを乗っ取られたりしましょう. 使い方 OAuth認証します 乗っ取りたいユーザーを一覧から選択します 5分間そのユーザーになりすましてタイムラインの閲覧やツイートができます よくある質問 どういう仕組みで乗っ取っているんですか? OAuth認証の仕組みを使って安全にアカウントを乗っ取れます 誰が誰を乗っ取ることができるの? のっとったーを利用しているユーザー同士が,お互いのアカウントを乗っ取ることができます.誰が誰をのっとったか分かるようになっていますので,匿名でなにか書かれる,といった心配はありません.以下のリンクから,過去ののっとりをご覧になれます. 過去ののっとり 非公開(プロテクト)ユーザーをフォローしているけど大丈夫? 非公開ユーザーのツイー
ATNDのリマインダーをNodeで書いてみた - 自分の感受性くらい
Node.jsの正式名称はNodeということらしいので、これからはNodeと表記しますね。 今日、「Node.jsの飲み会」というイベントをやるんですが、信頼のドタキャン率を誇るATNDで募集していたので、ATNDのアカウントをTwitterとひもづけてる人に対してTwitter経由でリマインダーを送るプログラムをNodeで書いてみました。 var request = require('request'), qs = require('querystring'), OAuth = require('oauth').OAuth, settings = require('./settings'), oauth = new OAuth( 'https://api.twitter.com/oauth/request_token', 'https://api.twitter.com/oauth/ac
OAuth 2.0でWebサービスの利用方法はどう変わるか(1/3)- @IT
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
JavaScript製のOAuthライブラリ·jsOAuth MOONGIFT
jsOAuthはJavaScript製のOAuthライブラリ。 [/s2If] jsOAuthはJavaScript製のオープンソース・ソフトウェア。今ではWeb APIを公開しているサービスは珍しくない。そして従来は配信系ばかりだったが、今ではWeb APIを通じたデータ登録や更新も可能になっている。そんな時の認証の仕組みに使われているのがOAuthだ。 テスト用コード(ここままでは動かないが…) OAuthはTwitterで最も知られるようになったが、元々はFlickrやGoogle、Facebookなどでも使われている機能ベースの認証技術だ。そしてそれをJavaScriptベースで実現したのがjsOAuthになる。 jsOAuthはJavaScriptによる実装なので、ソースコードが見えてしまう。OAuthではシークレットキーを使うので、それが丸見えというのは考えものだ。だがWebブ
AppEngine Java と JSONIC と OpenSocial OAuth Filter で作る OpenSocial アプリの外部サーバ
JavaScript をこよなく愛する なかじまんソフトウェア株式会社 のスタッフによるブログです。 OpenSocial Container や Social Gadgets の開発を技術面から支援します。 おはようございます。なかじまんです。 AppEngine Java と JSONIC と OpenSocial OAuth Filter を使うと、OpenSocial アプリの外部サーバをお手軽に立てることができますよ ... というおはなしです。ただ、大規模な運用実績はありませんので、その点は割り引いて読んでくださいね。 はじめに、JSONIC というライブラリを使って、AppEngine Java 上に、独自の REST API を構築します。そして、OpenSocial アプリから gadgets.io.makeRequest メソッドを使って、その REST API を呼び
Twitterさん、OAuthのアクセス権限の細分化を! : akiyan.com
Twitterさん、OAuthのアクセス権限の細分化を! 2010-09-07 TwitterのOAuth認証を利用するサービスを作ってみたが... 一昨日の日曜日(9/5)に、クックパッドさんのオフィス提供による 『TFJ CodeCamp #2』 という1日開発合宿に行きまして、TwitterのOAuth認証を使ったサービスを初めて作ったんです。ユーザーのタイムラインを読んでいろいろやってくれるタイプのサービスを。で、実際OAuth認証するサービスを公開することを考えてみたんですが、どーにも無視できないリスクがありまして。 まず、TwitterのOAuth認証のアクセス権限レベルって、「全部のデータが読める」or「何でもできる」しかありません。今回のサービスはタイムラインさえ読めればいいのですが、OAuth認証としては全部のデータを読める要求しかできなくて、その認証をしてもらったならば
モバイル版OAuthの便利な活用方法
ヤフー株式会社は、2023年10月1日にLINEヤフー株式会社になりました。LINEヤフー株式会社の新しいブログはこちらです。LINEヤフー Tech Blog こんにちは、IDプラットフォーム技術の近藤です。 先月末にひっそりとモバイル版OAuthをリリースしました。それに併せてYJDNのOAuthのドキュメントで分かりづらかった部分を更新しています。OAuthのパラメータで最も分かりにくいことで評判(?)なsignatureの生成方法をリクエストの署名で詳しく解説していますので、今まで自前でsignatureのロジック実装に挑戦していた開発者の参考になればと思います。 さて、どこがモバイル対応になったのかと言いますと、OAuthのフローの『2. End Userの認可要求』に記載してある、リクエストで指定するパラメータが一つ増えています。ここでConsumerが xoauth_yaho
「OAuth」とは 日本のユーザー襲った“Twitterスパム”の正体
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
TechCrunch
DevQuizのOAuthのソース晒すよ
OAuthで気持ちのいいアクセス制御を