タグ アクセストークン
新着順 10 users 50 users 100 users 500 users 1000 usersOAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 認可コードフロー RFC 6749, 4.1. Authorization Code Grant で定義されているフロ... 続きを読む
WebアプリにSNSアカウントでのログインを実装する(1/5):CodeZine
「ソーシャルネットワークサービス(SNS)のアカウントによるログイン」は、一般的にOAuth(オーオース)というオープンな仕様を利用して実現しています。OAuthとは OAuthの詳細仕様の説明は省きますが、簡単に言うと、SNSユーザー本人の認可の下、SNS側からアクセストークン(委任状のようなもの)が発行され、それをソーシャルアプリ側が預かる仕組みです。以降、ソーシャルアプリのプログラムがアクセ... 続きを読む
アクセストークンを取得する(Twitter API)
Twitter APIの使い方シリーズ、第2回目です。今回は、APIを利用するのに必要な「アクセストークンを取得する方法」を紹介します。もし、脱落しそうになったら不明な点を遠慮せず、コメント欄で質問して下さいね。 1「アクセストークン」とは?この章では「アクセストークン」について、私なりに説明しています。面倒くさかったり、途中で読んで分からない場合は飛ばしてしまって下さい。プログラムを動かしている... 続きを読む
CIマニアから見たGitHub Actions(Beta)の使い所 - くりにっき
1ヶ月くらい使って勘所が見えてきたのでメモ メリット 1リポジトリ辺り20並列までジョブを並列実行できる ジョブ実行時はアクセストークンが勝手に設定されている マトリクステストがやりやすい 実際にGitHub Actionsに移行したプロダクト zatsu_monitor activerecord-compatible_legacy_migration index_shotgun デメリ... 続きを読む
JWT形式を採用したChatWorkのアクセストークンについて - ChatWork Creator's Not
JWTを使うことは難しい? こんにちは、かとじゅん(@j5ik2o)です。最近、JWTに関する以下のブログが話題です*1。 どうしてリスクアセスメントせずに JWT をセッションに使っちゃうわけ? - co3k.org このブログで言及されているのは、JWTをセッションの保存先に選ぶことで「何が問題なの?」に書かれているリスクがあるよ... 続きを読む
[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 - Publickey
[速報]GitHub、見られてはいけないコード中のアクセストークンを発見し通知してくれる「Token Scanning」発表。GitHub Universe 2018 クラウドサービスが充実してきたことで、コードからクラウドAPIを呼び出して利用することが一般的になってきました。クラウドAPIを呼び出す際には、適正な呼び出し権限を持つことを示... 続きを読む
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)
基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む
OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita
OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む
知っておきたい7つのID連携実装パターン - Yahoo! JAPAN Tech Blog
Yahoo! JAPAN Tech Advent Calendar 2014の23日目の記事です。一覧はこちら こんにちは、ID連携担当のくら(@kura_lab)です。 みなさんはYahoo! JAPANのWeb APIや認証、エンドユーザーの属性取得APIを実装したことがありますか。これらを利用するためにはYahoo! ID連携を用いてアクセストークンの取得やログインの実装が必要になります。単... 続きを読む
GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応 - Publickey
GitHub、コード中に書いてはいけないアクセストークンを発見、通知してくれる「Secret scanning」機能、プライベートリポジトリで正式対応 GitHubは、本来ソースコード中に書くべきではないアクセストークンなどを、コードやアーカイブから発見し通知してくれるSecret scanning機能がプライベートリポジトリでも正式な機... 続きを読む
Auth0のアクセストークンをLocal Storageに保存するのは安全?メリット・デメリットをin-memory方式と比較して検討する - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事では、Auth0のSPA SDKでアクセストークンのキャッシュを有効化する際の考慮ポイントについて紹介し、それを切り口にアクセストークンの保存場所に関してin-memory方式とlocalStorage方式の2つについて解説します。 Auth0のようなIDaaSは昨今か... 続きを読む
【PoC編】XSSへの耐性においてブラウザのメモリ空間方式はLocal Storage方式より安全か? - Flatt Security Blog
はじめに こんにちは。 セキュリティエンジニアの@okazu-dm です。 この記事は、Auth0のアクセストークンの保存方法について解説した前回の記事の補足となる記事です。前回の記事の要旨をざっくりまとめると以下のようなものでした。 Auth0はデフォルトではアクセストークンをブラウザのメモリ空間上にのみ保存するin-me... 続きを読む
天使やカイザーと呼ばれて » OAuth2.0によるGoogle+ APIのアクセス方法
Google+のAPIが先日公開されました。API Keyを使ってシンプルにAPIアクセスを試すことができるのですが、本来であればOAuth2.0にてアクセストークンを取得しAPIアクセスする方式でなければ今後公開されるであろうAPI群は利用できないはずですので、ここでOAuth2.0によるGoogle+ APIのアクセス手順を紹介しておきましょう。全手順において、プログラミングをすることなく試す... 続きを読む
Facebook、5,000万人分のアクセストークンが流出 - PC Watch
チャット経由でデプロイする[新編] - Qiita
Rubotyを利用してチャット経由でデプロイする方法を示した チャット経由でデプロイする - Qiita の続編。 デプロイ方法 おさらいしておくと、デプロイ自体はr7kamura/ruboty-githubでやっている。あらかじめ1vs1チャットでQiitanにGitHubのアクセストークンを教えておくと、教えてくれた人の命令に従って、Pull Requestを作ったりMergeしてくれたりする... 続きを読む
Twitter連携アプリが乗っ取られる 「ツイート数カウントくん」ユーザーが身に覚えのないブロック - ITmedia ニュース
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発。作者はアプリを削除した。 Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出し、ユーザーが意図せず特定のユーザーをブロックする事態が多発していたことが分かった。作者の@bombom583さんは6月14日、同アプリを削除。15日付けの告知で、... 続きを読む
5000万人の個人情報が流出した件でFacebookが調査結果を公表、自分が被害を受けたか確認する方法あり - GIGAZINE
5000万人分のFacebookアカウントのアクセストークンが盗まれてアクセスし放題になった件について、Facebookが調査結果を公表しました。 An Update on the Security Issue | Facebook Newsroom https://newsroom.fb.com/news/2018/10/update-on-security-issue/ Facebookは2018年9月25日、約5000万人ものユーザーに影響を... 続きを読む
【重要】人気のあるWordPressプラグインが、Twitterアカウントのハイジャックを許すアクセストークンをリークしていた | TechCrunch Japan
これまで何千ものウェブサイトにインストールされ、コンテンツをソーシャルメディア上にシェアする役割を果たして来た、WordPressのとある人気プラグインが、接続されたTwitterのアカウントを危険に晒していたことが発覚した。 問題のプラグインであるSocial Network Tabsは、WordPressで構築されたウェブサイトのソース... 続きを読む
ウェブ、やってます » mixi Graph APIのOAuth 2.0を使った認証認可手順をフローチャートにしてみた
2011/02/13 @10:00 | 制作・ノウハウ Developer Centerのドキュメントはすごく良くまとまっていて、mixi Graph APIの認証認可手順の部分も分かりやすくまとまっています。が、フローチャートがあったらもっと分かりやすいのになぁと思ったので自分で作ってみました。 上記イメージはCC BY-NC 3.0ライセンスで。 アクセストークンとリフレッシュトークンを取得す... 続きを読む
Facebookアカウントがハックされたかチェック――被害にあっていたらこうしておこう | TechCrunch Japan
Facebookでは2週間前のハッキングにより3000万人のアクセストークンがリークしたことを発表している。まず読者のアカウントが被害にあっているかどうか確かめ、被害にあっていたら対策しておこう。 次のリンクからFacebookのヘルプセンターを訪問する(ログイン状態であることが必要) https://www.facebook.com/help/... 続きを読む
Twitterアプリのアクセストークンを盗み利用者のアカウントを操作した犯人、インタビューに答える | スラッシュドット・ジャパン IT
Twitter連携アプリ「ツイート数カウントくん」のアクセストークンが流出するという事件が発生したが、この犯人を自称する人物がTwitter上で犯行の理由について語っている(Togetterまとめ)。 犯人は窃取したアクセストークンを使い、「ツイート数カウントくん」との連携設定を行っていたユーザーのアカウントを操作し、特定のユーザーをブロックしたり、フォローさせるといった操作を行っていた模様。ブロ... 続きを読む
Instagramの写真をサイトに簡単掲載できるjQueryプラグイン「Spectragram」:phpspot開発日誌
Instagramの写真をサイトに簡単掲載できるjQueryプラグイン「Spectragram」 2013年01月09日- jQuery Spectragram Instagramの写真をサイトに簡単掲載できるjQueryプラグイン「Spectragram」 jQueryプラグインなので、アクセストークン、ClientID等を取得する必要はありますが、プログラミングレスな感じで実装が可能です。 サ... 続きを読む
「MetroTwit for Desktop」「MetroTwit for Windows 8」の開発が終了 - 窓の杜
ニュース 「MetroTwit for Desktop」「MetroTwit for Windows 8」の開発が終了 Twitterが課したアクセストークンの発行上限に達したため (2014/3/6 09:39) 「MetroTwit for Desktop」 「MetroTwit for Windows 8」 豪Pixel Tucker Pty Ltd.は5日(現地時間)、同社が開発するTwi... 続きを読む
アクセストークンをWebWorkerで扱う - console.lealog();
というアプローチを紹介してる記事があって、なるほど?と思ったのでまとめてみる。 元記事はこちら。 Leveraging Web Workers to Safely Store Access Tokens – The New Stack 毎度のことながら、今にはじまったことではない。 元記事いわく WebWorkerであれば、メインスレッドで実行されるであろうXSSや3rdのコードか... 続きを読む