E2EテストでNextAuth認証(OAuthなど)を突破する方法

2024/03/07 72 users playwright Auth.js 認証方式 認証 問題

NextAuth (Auth.js) で認証させているWebアプリをPlaywrightなどでE2Eテストする際に、認証をどうやってさせるか、あるいは回避するかが悩ましい部分です。 もし採用している認証方式が、単純なID/パスワード認証であればテストユーザを作成し、Playwrightにパスワードを入力させれば認証できるので問題はありません。 ... 続きを読む

Authlete を活用して OAuth 認可サーバの構築期間を短縮した - Gaudiy Tech Blog

2023/12/18 12 users AUTHLETE Gaudiy Tech Blog

こんにちは、Gaudiyでソフトウェアエンジニアを担当しているsato（@yusukesatoo06）です。 弊社が提供するファンコミュニティプラットフォーム「Gaudiy Fanlink」において、外部サービスにAPI提供をする必要があったことから、外部連携について色々と調べて実装しました。 そこで今回は、調査からサーバ構築までのプロセ... 続きを読む

非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】

2023/06/08 23 users OpenID 言説 OAuth認証 認可 入門

昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOp... 続きを読む

個人情報が渡らない個人認証システムがほしい

2023/03/07 9 users 個人認証システム 個人情報 policies デジ庁 ヤツ

マイナポータルハッカソンなるものをデジ庁がやるらしいのだが、それを見ていて思ったやつを一つ。 https://www.digital.go.jp/policies/myna_portal/hackathon/ 個人情報を相手に渡さない個人認証システムってのを誰か作ってくれないか。 個人情報扱わないOAuthみたいな感じで手軽に使える奴を。 概要アカウントを作る... 続きを読む

OAuthの言葉周りを整理する

2022/07/10 23 users

OAuth認証はいつまで経ってもはっきり理解できないものの一つでした。 しかし最近ようやく理解できるようになってきたのでとりあえずそれぞれの言葉の指すものや定義をここで整理してみようと思います。 リフレッシュトークン リフレッシュトークンとは アクセストークンの有効期限が切れたときに、認可サーバーにアクセ... 続きを読む

GitHub の OAuth 実装の仕様違反とセキュリティ上の考慮事項 - Qiita

2022/04/19 11 users GitHub Qiita 実装 考慮事項 セキュリティ上

本稿は GitHub Docs の "Authorizing OAuth Apps" ページに書かれている情報に基づいています。英語版はこちら → "Spec Violations in GitHub OAuth Implementation and Security Considerations" 仕様違反箇所 認可リクエストの response_type リクエストパラメーターがない。当パラメーターは必須である。RFC 6749 (Th... 続きを読む

FacebookからOAuthを停止されてわかった今時のセキュリティ - Uzabase Tech

2021/12/23 217 users Facebook NewsPicks 我ら セキュリティ 状態

NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさ... 続きを読む

「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

2021/10/18 353 users AUTHLETE OIDC OpenID Connect

このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証... 続きを読む

しろやま on Twitter: "セブンイレブンのキャンペーンの件、フィッシングかと思ったら公式がpinしていて目を疑った… ほぼアカウント乗っ取りに等しい権限をすべて渡すことを意味している。

2021/07/12 12 users フィッシング しろ セブンイレブン 権限 on Twitter

セブンイレブンのキャンペーンの件、フィッシングかと思ったら公式がpinしていて目を疑った… ほぼアカウント乗っ取りに等しい権限をすべて渡すことを意味している。OAuthのスコープについて理解した開発者が作ったとは考えにくい。緊急メ… https://t.co/oXKL0TFUQC 続きを読む

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 236 users ディープリンク Akaki I 対策 挙動 シナリオ

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

認証と認可の超サマリ　OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

2021/05/02 940 users 個々 要素 概要 SAML 知識

認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査... 続きを読む

Google、12月14日の約45分間ダウンの原因と対策を詳解 - ITmedia NEWS

2020/12/20 218 users 詳解 Workspace ITmedia News 原因 対策

Gmailやカレンダーなど、ログイン認証が必要な多くのサービスが12月14日に約45分間使えなくなった問題について、Googleが原因と対策を説明した。 この障害は、14日の午前3時46分（日本時間では14日の午後8時46分）から47分間続き、Googleのログイン認証サービス「OAuth」を採用するGmailやWorkspaceなどの一連のサービス... 続きを読む

図解 X.509 証明書 - Qiita

2020/07/06 840 users Qiita 文書化 証明書 オンライン 一部

はじめに X.509 証明書について解説します。 ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書（１）』と『#5 X.509 証明書（２）』で解説して... 続きを読む

ネイティブアプリで OAuth 2.0 を安全に使うための OAuth 拡張

2019/04/03 37 users ネイティブアプリ 拡張 OAuth 2.0

（新元号が発表されましたね。いらすとや さん仕事早い.....!） 新社会人・学生の皆さま、御入社・御入学おめでとうございます！ はじめまして。プラットフォーム事業本部の Kikuchi です。 普段は Cloud IoT OS のアカウント管理・認証・権限管理周りの機能検討や設計・開発をやっています。 主な開発言語 は Rust では... 続きを読む

[レポート] 実装して理解するLINE LoginとOpenID Connect入門 に参加してOAuthとOpenID Connectについても学んできた #linedc ｜ DevelopersIO

2019/03/18 26 users DevelopersIO Mr.Mo LINE Login

こんにちは、Mr.Moです。 LINE Loginをテーマに「OAuth」、「OpenID Connect」についても解説される勉強会に参加させていただきました。 さっそく簡単にまとめたいと思います。 概要 OAuth […] 続きを読む

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita

2019/02/14 186 users Authorization Qiita トークン API 認可

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方につい... 続きを読む

OAuth 認証を真面目に考える ｜ DevelopersIO

2018/12/21 87 users DevelopersIO 認証

永遠の生魚おじさん、都元です。学生時代、ロックバンド Harem Scarem の Mood Swings (1993年) っていうアルバムが好きでよく聞いてたんですけど、この前 Google Play Music で検索してみたらMood Swings II (2013年) っていうアルバムが出ていることに気づきました。なんと曲目が全て一緒で、妙なアレンジのリミックス... 続きを読む

Django REST Framework で API サーバーを実装して得た知見まとめ(OAuthもあるよ）

2018/10/08 80 users API Django REST Framework

本記事の流れ はじめに 読者の想定 この記事に書いてあること Codespot とは Codespot 全体のアーキテクチャ Django を使う理由 Django REST framework ( DRF ) も使う理由 具体的な Django + DRF の魅力 DRF のシリアライザに一工夫したこと DRF のシリアライザでデータを加工して保存や更新をする時の設計 DRF のパー... 続きを読む

TwitterとOAuthで超簡易ブロックチェーンつくった — Steemit

2018/03/03 64 users Twitter JSON形式 この世 リツイート 仮想通貨

こんにちは、 極度消耗（しなさい） です。 最近、 コイナーズ・ハイ で動く仮想通貨を作ったら面白いと思って、この世で一番簡単なブロックチェーンをJavaScriptとJson形式で作ってみようかと考えたのですが、とりあえず これ が出来ました。 簡単に言えば、リツイートがそのまま仮想通貨（ happa ）になる形です。拡散希望ツイートでhappaを消費します。 なんでhappaかというと、これは... 続きを読む

ビジネスチャット「チャットワーク」がWebhookとOAuthに対応、オープンβ版の提供開始〜2018年春までにクラウドサービス18社とデータ連携開始予定〜 ~ ChatWorkニュースリリース

2017/11/01 34 users ChatWork WebHook ビジネスチャットツール

ビジネスチャットツール「チャットワーク」（ https://go.chatwork.com/ja/ ）を提供するChatWork株式会社（本社：大阪府吹田市、CEO：山本敏行、以下「ChatWork」）は、このたびチャットワークにおいて、WebhookとOAuthに対応したオープンβ版の提供を開始しましたのでお知らせいたします。 ChatWorkはこれまでメッセージ送信やタスク追加などといった、チ... 続きを読む

一番分かりやすい OAuth の説明 - Qiita

2017/07/13 978 users Qiita サーバー 方々 ユーザー 結果

はじめに 過去三年間、技術者ではない方々に OAuth （オーオース）の説明を繰り返してきました。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 説明手順 （１）ユーザーのデータがあります。 （２）ユーザーのデータを管理するサーバーがあります。これを『 リソースサーバー 』と呼びます。 （３）ユーザーのデータを利用したい『... 続きを読む

APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達 | TechCrunch Japan

2017/05/23 27 users AUTHLETE エムティーアイ Twitter カギ 調達

OAuthとOpen ID Connectを使った開発者向けサービスを提供する日本の AUTHLETE は本日、シードラウンドとして 500 Startups Japan と エムティーアイ から累計1.4億円の資金調達を実施したと 本日発表した 。これは日本のAPIエコノミーの立ち上がりにとって重要なサービスとなるかもしれない。 FlickrやTwitterの初期からAPIを使ってきた開発者なら... 続きを読む

IdM実験室: 「OAuthの仕組み丸分かり体験サイト」に見るOAuthとアイデンティティの関係

2017/03/02 57 users アイデンティティ ディス 富士榮 IdM実験室 https

こんにちは、富士榮です。 明治大学の情報セキュリティ研究室が公開している「OAuthの仕組み丸分かり体験サイト」が話題になっているので、少し内容を見ていこうと思います。 ※決してディスっている訳ではありません。敬遠されがちなOAuthなどの仕組みを簡易に解説しようとする取り組みは非常に大切だと思いますし、私も常に悩むポイントの一つです。 　OAuthの仕組み丸分かり体験サイト 　 https://... 続きを読む

HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp

2016/07/27 316 users Pac DHCP https code Windows

なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？ チョットニホンゴデオネガイシマス ってことで、まぁこれが... 続きを読む

WP REST API の OAuth 認証をやってよう（今後追記予定） – Shinichi Nishikawa's

2016/01/04 32 users OAuth認証 API ドキュメント WP REST うち

OAuth認証やってまいります。 さて、ドキュメントには「OAuth のプラグインにUIはありません。そのうち作ります」などと書かれておりましたが、実際にはありました。 WP REST API の OAuth プラグイン が提供するアプリケーション作成画面 なんだか、wp cli を利用して $ wp oauth1 add みたいなことをしないといけない、とドキュメントにはありますが、管理画面でで... 続きを読む