タグ OAuth 2.0
人気順 10 users 50 users 100 users 500 users 1000 usersTwitterにOAuth 2.0でログインできるomniauth-twitter2 gemを作りました | うなすけとあれこれ
tl;dr unasuke/omniauth-twitter2: omniauth strategy for authenticating with twitter oauth2 ↑ これをつくりました Twitter認証、要求される権限がデカい問題 Twitter認証でログインできるWebアプリというものは色々あり、便利なので日々使っているという方は多いことでしょう。 しかしTwitter loginで要求される権限... 続きを読む
全員がOAuth 2.0を理解しているチームの作り方 #devio2021 | DevelopersIO
DevelopersIO 2021 Decade で「全員がOAuth 2.0を理解しているチームの作り方」というテーマで話させていただきました。 スライド 話した内容 なぜ人類は OAuth 2.0 に入門し続けるのか なぜ OAuth 2.0 をチームに根付かせたいのか 開発フローとしてコードレビューがある 仕様がわからないと、レビューができない コード... 続きを読む
リダイレクト URI の前方一致 - Qiita
はじめに OAuth 2.0 の認可レスポンスは、登録済みの『リダイレクト URI』宛に返却されます。詳細は『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』を参照してください。 複数のリダイレクト URI が登録されている場合、どのリダイレクト URI に認可レスポンスを返して欲しいかを、認可リクエスト時に指定す... 続きを読む
定番メールソフト「Becky! Internet Mail」がMicrosoft 365のOAuth 2.0に対応 - 窓の杜
OAuth 2.0 を参加者全員がある程度のレベルで理解するための勉強会を開催しました | Developers.IO
現在私は barista という OpenID Connect と OAuth2.0 に準拠したID製品の実装を行っています。 また、私の所属する事業開発部では prismatix というEC、CRM の API 製品の開発を行っていますが、この prismatix の認可サーバーとして barista を利用しています。 barista チームの増員や、prismatix の認可についての理... 続きを読む
OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは? - r-weblife
お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装したい(しなければならない) セキュリティエンジニアを名乗っていて... 続きを読む
OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife
おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む
OAuth 2.0 の勉強のために認可サーバーを自作する - Qiita
はじめに OAuth 2.0 の仕様書である RFC 6749 は、認可サーバー(authorization server)の動作を定めています。この記事は、認可サーバーを簡易的に実装することで、OAuth 2.0 の理解を深めることを目的としています。 1. エンドポイント 認可サーバーは Web サーバーの一種で、認可エンドポイント(authorization endp... 続きを読む
OAuth 2.0 PlaygroundでOAuth 2.0のクライアントの気持ちになろう | DevelopersIO
OAuth 2.0に対応したAPIクライアントのアプリを書きたい気持ちになったのですが、テストをどうするか考えながらOSSの認可サーバーをローカルに立てたりするかなど考えていたら、OAuth 2.0 Playgroundというものを知りました。 こちらは実際に認可サーバーを使ってOAuth 2.0 のクライアントの気持ちになれるチュートリア... 続きを読む
ネイティブアプリで OAuth 2.0 を安全に使うための OAuth 拡張
(新元号が発表されましたね。いらすとや さん仕事早い.....!) 新社会人・学生の皆さま、御入社・御入学おめでとうございます! はじめまして。プラットフォーム事業本部の Kikuchi です。 普段は Cloud IoT OS のアカウント管理・認証・権限管理周りの機能検討や設計・開発をやっています。 主な開発言語 は Rust では... 続きを読む
基礎からのOAuth 2.0とSpring Security 5.1による実装
基礎からのOAuth 2.0とSpring Security 5.1による実装 1. (C) CASAREAL, Inc. All rights reserved. #jsug #sf_h4 Pivotal認定講師が解説! 基礎からのOAuth 2.0と Spring Security 5.1による実装 (株)カサレアル 多⽥真敏 2018年10⽉31⽇ JSUG Spring Fest 1 2. (C) CASAREAL, Inc. All rights reserved. #jsug #sf_h4 ... 続きを読む
認可と認証技術についてのスライドを書きました - ngzmのブログ
2018 - 03 - 27 認可と認証技術についてのスライドを書きました 認証 認可 OAuth 1.0 OAuth 2.0 OpenID Connect 認可と認証技術 OAuth 1.0、OAuth 2.0 および OpenID Connect に関するスライドをアップしました。 アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Conne... 続きを読む
OAuth 2.0の認可権限無効化の仕様 - 理系学生日記
2017 - 02 - 25 OAuth 2.0の認可権限無効化の仕様 OAuth 2.0 のプロバイダを作るんだったら、もしかして認可権限の取消画面も作らないといけないのかしら〜〜〜〜(ほげ〜〜〜〜)と思って調べてたら、その revoke の仕様も RFC で仕様化されていることを知りました。 これにより、必ずしも取消画面を作らなくて良いということにはなりませんが、API として公開することは容... 続きを読む
デジタルID最新動向(2):図解:OAuth 2.0に潜む「5つの脆弱性」と解決法 (1/4) - @IT
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回 で... 続きを読む
OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ - Build Insider
OpenID Connect概要 OpenID Connectをひと言で説明すると、 OAuth 2.0 + Identity Layer = OpenID Connect という表現が最もふさわしい。 OpenID Connectは、「OAuth 2.0を使ってID連携をする際に、OAuth 2.0では標準化されていない機能で、かつID連携には共通して必要となる機能を標準化した」OAuth 2.... 続きを読む
Developers.IO 2017セッション「基礎からの OAuth 2.0」でお話してきました #cmdevio2017 | Developers.IO
よく訓練されたアップル信者、都元です。クラスメソッドが運営するIT系技術ブログ Developers.IO のカンファレンスイベント Developers.IO 2017 にて、セッション「基礎からの OAuth 2.0」を発表しました。本エントリーはそのレポートです。 発表スライド セッション概要 システム開発をする以上、ほとんどの場合「認証と認可」は切っても切れない問題です。マイクロサービスが... 続きを読む
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む
OAuth 2.0 をかみくだく // Speaker Deck
All slide content and descriptions are owned by their creators. 続きを読む
Javaで実装して学ぶOAuth 2.0! // Speaker Deck
All slide content and descriptions are owned by their creators. 続きを読む
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 認可コードフロー RFC 6749, 4.1. Authorization Code Grant で定義されているフロ... 続きを読む
よくわかる認証と認可 | Developers.IO
よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。 こちら からお帰りください。 さて、先日の Developers.IO 2016 において、 マイクロWebアプリケーション というテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 ... 続きを読む
OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife
こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。出てくる用語や仕様は、下記の翻訳リンクを参照してください。The OAuth 2.0 Authorization FrameworkJSON Web Signature (JWS)想定する環境わりとよくある環境を想... 続きを読む
OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita
OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む
OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp
昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでくだ... 続きを読む