全員がOAuth 2.0を理解しているチームの作り方 #devio2021 | DevelopersIO

2021/10/07 344 users 人類 スライド 開発フロー 仕様 コード

DevelopersIO 2021 Decade で「全員がOAuth 2.0を理解しているチームの作り方」というテーマで話させていただきました。 スライド 話した内容 なぜ人類は OAuth 2.0 に入門し続けるのか なぜ OAuth 2.0 をチームに根付かせたいのか 開発フローとしてコードレビューがある 仕様がわからないと、レビューができない コード... 続きを読む

OAuth 2.0 を参加者全員がある程度のレベルで理解するための勉強会を開催しました | Developers.IO

2020/10/31 464 users Developers.IO 勉強会 参加者全員

現在私は barista という OpenID Connect と OAuth2.0 に準拠したID製品の実装を行っています。 また、私の所属する事業開発部では prismatix というEC、CRM の API 製品の開発を行っていますが、この prismatix の認可サーバーとして barista を利用しています。 barista チームの増員や、prismatix の認可についての理... 続きを読む

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する - r-weblife

2019/12/02 14 users ritou OIDC Binding qiita.com 攻撃

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこのフローにはこういう攻撃が考えられる」... ●●●が置き換え可... 続きを読む

OAuth 2.0 の勉強のために認可サーバーを自作する - Qiita

2019/10/17 282 users Qiita 一種 サーバー 動作 エンドポイント

はじめに OAuth 2.0 の仕様書である RFC 6749 は、認可サーバー（authorization server）の動作を定めています。この記事は、認可サーバーを簡易的に実装することで、OAuth 2.0 の理解を深めることを目的としています。 1. エンドポイント 認可サーバーは Web サーバーの一種で、認可エンドポイント（authorization endp... 続きを読む

OAuth 2.0 PlaygroundでOAuth 2.0のクライアントの気持ちになろう ｜ DevelopersIO

2019/08/31 51 users チュートリア DevelopersIO OSS クライアント

OAuth 2.0に対応したAPIクライアントのアプリを書きたい気持ちになったのですが、テストをどうするか考えながらOSSの認可サーバーをローカルに立てたりするかなど考えていたら、OAuth 2.0 Playgroundというものを知りました。 こちらは実際に認可サーバーを使ってOAuth 2.0 のクライアントの気持ちになれるチュートリア... 続きを読む

ネイティブアプリで OAuth 2.0 を安全に使うための OAuth 拡張

2019/04/03 37 users ネイティブアプリ OAuth 拡張

（新元号が発表されましたね。いらすとや さん仕事早い.....!） 新社会人・学生の皆さま、御入社・御入学おめでとうございます！ はじめまして。プラットフォーム事業本部の Kikuchi です。 普段は Cloud IoT OS のアカウント管理・認証・権限管理周りの機能検討や設計・開発をやっています。 主な開発言語 は Rust では... 続きを読む

基礎からのOAuth 2.0とSpring Security 5.1による実装

2018/11/01 12 users 実装 基礎 CASAREAL Inc 解説

基礎からのOAuth 2.0とSpring Security 5.1による実装 1. (C) CASAREAL, Inc. All rights reserved. #jsug #sf_h4 Pivotal認定講師が解説！ 基礎からのOAuth 2.0と Spring Security 5.1による実装 (株)カサレアル 多⽥真敏 2018年10⽉31⽇ JSUG Spring Fest 1 2. (C) CASAREAL, Inc. All rights reserved. #jsug #sf_h4 ... 続きを読む

認可と認証技術についてのスライドを書きました - ngzmのブログ

2018/03/28 273 users OpenID Connect 認証 アプリ開発 認可 スライド

2018 - 03 - 27 認可と認証技術についてのスライドを書きました 認証 認可 OAuth 1.0 OAuth 2.0 OpenID Connect 認可と認証技術 OAuth 1.0、OAuth 2.0 および OpenID Connect に関するスライドをアップしました。 アプリ開発で知っておきたい認証技術 - OAuth 1.0 + OAuth 2.0 + OpenID Conne... 続きを読む

デジタルID最新動向（2）：図解：OAuth 2.0に潜む「5つの脆弱性」と解決法 (1/4) - ＠IT

2017/10/23 89 users 図解 セキュア シーケンス図 脆弱性 攻撃手法

SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱（ぜいじゃく）性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回 で... 続きを読む

OpenID Connectユースケース、OAuth 2.0の違い・共通点まとめ - Build Insider

2017/08/02 102 users Build Insider OpenID ひと言 ID連携

OpenID Connect概要 OpenID Connectをひと言で説明すると、 OAuth 2.0 ＋ Identity Layer ＝ OpenID Connect という表現が最もふさわしい。 OpenID Connectは、「OAuth 2.0を使ってID連携をする際に、OAuth 2.0では標準化されていない機能で、かつID連携には共通して必要となる機能を標準化した」OAuth 2.... 続きを読む

Developers.IO 2017セッション「基礎からの OAuth 2.0」でお話してきました #cmdevio2017 ｜ Developers.IO

2017/07/03 89 users Developers.IO cmdevio2017 基礎

よく訓練されたアップル信者、都元です。クラスメソッドが運営するIT系技術ブログ Developers.IO のカンファレンスイベント Developers.IO 2017 にて、セッション「基礎からの OAuth 2.0」を発表しました。本エントリーはそのレポートです。 発表スライド セッション概要 システム開発をする以上、ほとんどの場合「認証と認可」は切っても切れない問題です。マイクロサービスが... 続きを読む

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)

2017/07/01 279 users Developers.IO 2017 基礎 認可 概念 認証

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、
 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701)

2017/07/01 279 users Developers.IO 2017 基礎 認可 概念 認証

基礎からの OAuth 2.0 - Developers.IO 2017 (20170701) 1. #cmdevio2017 基礎からの OAuth 2.0 認証と認可の概念、アクセストークン・認可コード・スコープの意味 都元ダイスケ 2017-07-01 2. #cmdevio2017 自己紹介 2 ✦ よく訓練されたアップル信者、
 都元です。 ✦ サーバサイドJava屋 & AWS屋 ✦ ... 続きを読む

OAuth 2.0 をかみくだく // Speaker Deck

2017/06/03 250 users Speaker Deck

All slide content and descriptions are owned by their creators. 続きを読む

Javaで実装して学ぶOAuth 2.0！ // Speaker Deck

2017/05/20 220 users Java Speaker Deck

All slide content and descriptions are owned by their creators. 続きを読む

OAuth 2.0 全フローの図解と動画 - Qiita

2017/04/27 855 users Qiita アクセストークン YouTube 図解 プロ

RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 認可コードフロー RFC 6749, 4.1. Authorization Code Grant で定義されているフロ... 続きを読む

よくわかる認証と認可 ｜ Developers.IO

2016/02/23 561 users OpenID Connect Developers.IO

よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。 こちら からお帰りください。 さて、先日の Developers.IO 2016 において、 マイクロWebアプリケーション というテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 ... 続きを読む

OAuth 2.0のAccess TokenへのJSON Web Token(JSON Web Signature)の適用 - r-weblife

2014/09/27 89 users r-weblife Access Token JWS 適用

こんばんは、ritouです。久々の投稿な気がしますが、今回はOAuth 2.0のリソースアクセス時の設計の話です。ずーっと前から書こうと思いつつ書いてなかったので、ここに書いておきます。出てくる用語や仕様は、下記の翻訳リンクを参照してください。The OAuth 2.0 Authorization FrameworkJSON Web Signature (JWS)想定する環境わりとよくある環境を想... 続きを読む

OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita

2014/08/27 243 users アクセストークン OAuth Qiita 主張 セキュリティ

OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む

OAuth 2.0 の code は漏れても大丈夫ってホント!? - OAuth.jp

2014/05/09 49 users code Query Covert Redirect 脆弱性

昨日のCovert Redirect で Query 漏れるケースもある!?やOAuth 2.0 の脆弱性 (!?) “Covert Redirect” とはにあるように、OAuth 2.0 の code が漏れちゃうことも、ありえます。 漏れないためにやるべきことは、上記の記事やFacebook Login で Covert Redirect を防止するなんかでも紹介してるので、そちら読んでくだ... 続きを読む

OAuth 2.0 の脆弱性 (!?) "Covert Redirect" とは - OAuth.jp

2014/05/07 58 users Covert Redirect OAuth.jp 脆弱性

ゴールデンウィークまっただなかに Twitter で海外の ID 厨から袋だたきにあってたので、もうこの問題は片付いただろうとすっかり油断してた「Covert Redirect」の件ですが、日本でもゴールデンウィーク明けてバズりだしたので、一旦問題を整理した方がよさそうですね。 事の発端 Wang Jing さんていうシンガポールの大学院生が、こんなサイトを公開すると共に CNet はじめ各種メデ... 続きを読む

Googleがログイン認証を強化、OAuth 2.0の採用促す - ITmedia エンタープライズ

2014/04/24 31 users ITmedia エンタープライズ 強化 Google 採用

米Googleは4月23日、2014年下半期以降にユーザーがWebブラウザやデバイス、アプリケーションからGoogleにログインする際のセキュリティチェックを段階的に強化すると発表した。 Googleではユーザーレベルで2段階認証などのセキュリティ強化策を提供するとともに、開発者向けには「Google Sign-In」などのツールを提供し、Google APIで認証プロトコルの「OAuth 2.0... 続きを読む

特定条件下におけるOAuth 2.0の認可応答を奪取されるリスクとその対策について - r-weblife

2013/12/26 46 users r-weblife ritou モバイルアプリ リスク 対策

こんにちは、ritouです。やっと”なんちゃらAdvent Calendar”がおさまり、これからは”一年を振り返って(遠い目”みたいな記事が増えることでしょう。その間のタイミングを狙います。何の話かmixi Platformが導入したっていうOAuth 2.0のCSRF対策拡張を使ってみた - r-weblife の最後にちょっと書いたんですけど、モバイルアプリでOAuth 2.0を使う際にやっ... 続きを読む

RFCとなった「OAuth 2.0」――その要点は？（1/2） － ＠IT

2012/09/10 397 users RFC 要点 APIエコノミー API 一種

第2回　RFCとなった「OAuth 2.0」――その要点は？ OpenID Foundation Japan Nov 2012/9/10 いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」につい... 続きを読む

Re: OAuth 2.0のclient_secretって本当に秘密鍵ですか？ - OAuth.jp

2012/08/03 22 users ドキュメント 混乱 実装 OAuth.jp とおり

昨日こんな記事を見かけたので、記事にまとめることにします。 OAuth2.0のclient_secretって本当に秘密鍵ですか？ 元記事にあるとおり、現状Native AppでのOAuth 2.0の実装は、API提供者・利用者ともにポリシーがバラバラで、混乱の元になっていると思います。 Googleのドキュメントにも「the client_secret is obviously not treat... 続きを読む