E2EテストでNextAuth認証(OAuthなど)を突破する方法

2024/03/07 72 users playwright Auth.js 認証方式 認証 問題

NextAuth (Auth.js) で認証させているWebアプリをPlaywrightなどでE2Eテストする際に、認証をどうやってさせるか、あるいは回避するかが悩ましい部分です。 もし採用している認証方式が、単純なID/パスワード認証であればテストユーザを作成し、Playwrightにパスワードを入力させれば認証できるので問題はありません。 ... 続きを読む

FacebookからOAuthを停止されてわかった今時のセキュリティ - Uzabase Tech

2021/12/23 217 users Facebook NewsPicks 我ら セキュリティ 状態

NewsPicksの高山です。 この記事はUzabase Advent Calendar 2021の23日目の記事です。昨日は我らが赤澤剛さんによるAWS Organizationの記事でした。 去る2021年10月12日に突然NewsPicksのサービスでFacebookログインやFacebookへの投稿ができなくなりました。この状態は12月13日まで2ヶ月もの間継続していて、ユーザーさ... 続きを読む

「挫折しない OAuth / OpenID Connect 入門」のポイント - Authlete

2021/10/18 353 users AUTHLETE OIDC OpenID Connect

このビデオについて このビデオは、2021 年 10 月 6 日に開催された 「挫折しない OAuth / OpenID Connect 入門」の理解を深める会 のプレゼンテーション録画です。 2021 年 9 月 18 日発売の「Software Design 2021 年 10 月号」では、OAuth/OIDC が特集され、「挫折しない OAuth/OpenID Connect 入門・API を守る認証... 続きを読む

OAuthにおける認可コード横取り攻撃とその対策 - Akaki I/O

2021/07/04 236 users ディープリンク Akaki I 対策 挙動 シナリオ

​前回の記事で示したように、カスタムURLスキームを偽装した不正アプリは正規アプリへのディープリンクを乗っ取れる。この挙動の悪用シナリオとして、正規アプリと認可サーバー間のOAuthフローにおける認可コード横取り攻撃が知られている。この攻撃への対策を把握するためにiOS環境でシナリオを再現し、PKCEの有効性を... 続きを読む

認証と認可の超サマリ　OAuth とか OpenID Connect とか SAML とかをまとめてざっと把握する本

2021/05/02 940 users 個々 要素 概要 SAML 知識

認証と認可についての知識が必要になったので、基礎的なことを学んでいます。 一切何も知らない状態から手当たり次第に細かく調べるのは大変だったので、超サマリを整理してみようと思います。 この本は「個々の要素に詳しくなる必要はないんだけど、概要くらいはさっと把握しておきたい」とか「手当たり次第に詳細調査... 続きを読む

Google、12月14日の約45分間ダウンの原因と対策を詳解 - ITmedia NEWS

2020/12/20 218 users 詳解 Workspace ITmedia News 原因 対策

Gmailやカレンダーなど、ログイン認証が必要な多くのサービスが12月14日に約45分間使えなくなった問題について、Googleが原因と対策を説明した。 この障害は、14日の午前3時46分（日本時間では14日の午後8時46分）から47分間続き、Googleのログイン認証サービス「OAuth」を採用するGmailやWorkspaceなどの一連のサービス... 続きを読む

図解 X.509 証明書 - Qiita

2020/07/06 840 users Qiita 文書化 証明書 オンライン 一部

はじめに X.509 証明書について解説します。 ※ この記事は 2020 年 7 月 1 日にオンラインで開催された Authlete 社主催の『OAuth/OIDC 勉強会【クライアント認証編】』の一部を文書化したものです。勉強会の動画は公開しており、X.509 証明書については『#4 X.509 証明書（１）』と『#5 X.509 証明書（２）』で解説して... 続きを読む

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた - Qiita

2019/02/14 186 users Authorization Qiita トークン API 認可

トークンを利用した認証・認可 API を実装するとき Authorization: Bearer ヘッダを使っていいのか調べた TL;DR HTTP でトークンを利用した認証・認可をする手法として RFC 6750 がある OAuth に限らず、トークンを利用して認証・認可する機構の一部として Authorization: Bearer ヘッダを使うことができる 使い方につい... 続きを読む

OAuth 認証を真面目に考える ｜ DevelopersIO

2018/12/21 87 users DevelopersIO 認証

永遠の生魚おじさん、都元です。学生時代、ロックバンド Harem Scarem の Mood Swings (1993年) っていうアルバムが好きでよく聞いてたんですけど、この前 Google Play Music で検索してみたらMood Swings II (2013年) っていうアルバムが出ていることに気づきました。なんと曲目が全て一緒で、妙なアレンジのリミックス... 続きを読む

Django REST Framework で API サーバーを実装して得た知見まとめ(OAuthもあるよ）

2018/10/08 80 users API Django REST Framework

本記事の流れ はじめに 読者の想定 この記事に書いてあること Codespot とは Codespot 全体のアーキテクチャ Django を使う理由 Django REST framework ( DRF ) も使う理由 具体的な Django + DRF の魅力 DRF のシリアライザに一工夫したこと DRF のシリアライザでデータを加工して保存や更新をする時の設計 DRF のパー... 続きを読む

TwitterとOAuthで超簡易ブロックチェーンつくった — Steemit

2018/03/03 64 users Twitter JSON形式 この世 リツイート 仮想通貨

こんにちは、 極度消耗（しなさい） です。 最近、 コイナーズ・ハイ で動く仮想通貨を作ったら面白いと思って、この世で一番簡単なブロックチェーンをJavaScriptとJson形式で作ってみようかと考えたのですが、とりあえず これ が出来ました。 簡単に言えば、リツイートがそのまま仮想通貨（ happa ）になる形です。拡散希望ツイートでhappaを消費します。 なんでhappaかというと、これは... 続きを読む

一番分かりやすい OAuth の説明 - Qiita

2017/07/13 978 users Qiita サーバー 方々 ユーザー 結果

はじめに 過去三年間、技術者ではない方々に OAuth （オーオース）の説明を繰り返してきました。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 説明手順 （１）ユーザーのデータがあります。 （２）ユーザーのデータを管理するサーバーがあります。これを『 リソースサーバー 』と呼びます。 （３）ユーザーのデータを利用したい『... 続きを読む

IdM実験室: 「OAuthの仕組み丸分かり体験サイト」に見るOAuthとアイデンティティの関係

2017/03/02 57 users アイデンティティ ディス 富士榮 IdM実験室 https

こんにちは、富士榮です。 明治大学の情報セキュリティ研究室が公開している「OAuthの仕組み丸分かり体験サイト」が話題になっているので、少し内容を見ていこうと思います。 ※決してディスっている訳ではありません。敬遠されがちなOAuthなどの仕組みを簡易に解説しようとする取り組みは非常に大切だと思いますし、私も常に悩むポイントの一つです。 　OAuthの仕組み丸分かり体験サイト 　 https://... 続きを読む

HTTPS でも Full URL が漏れる？OAuth の code も漏れるんじゃね？？ - OAuth.jp

2016/07/27 316 users Pac DHCP https code Windows

なんですかこれは！ New attack bypasses HTTPS protection on Macs, Windows, and Linux DHCP につなぐと PAC ファイルがダウンロードされて HTTPS であろうとアクセス先の Full URL は漏れるですって？ Web Proxy Autodiscovery ですって？ チョットニホンゴデオネガイシマス ってことで、まぁこれが... 続きを読む

Python - 遺伝的アルゴリズムでFX自動売買 その3 OandaAPIで実際に取引 - Qiita

2015/10/14 86 users Qiita Python アルゴリズム API 実装

前回の記事 pythonと遺伝的アルゴリズムで作るFX自動売買システム その1 遺伝的アルゴリズムでFX自動売買 その2 進化する売買AIの実装 今回作るモノ 自動売買システムを作ったときに使ったOandaAPIの紹介と、売買注文の発注機能について書いていこうと思います。 自動売買で使ったOandaAPI 5種類のAPIを使って構築しました。詳細はOandaのAPIDocument参照 OAuth... 続きを読む

Ruby - 色々な OAuth のフローと doorkeeper gem での実装 - Qiita

2014/12/03 62 users Qiita RFC Facebook Ruby 実装

そもそも OAuth とは？なにがうれしいの？ 例えばあるアプリケーションが Facebook からリソースオーナーの情報を取得したい場合、そのアプリケーションはリソースオーナーの Facebook アカウントとパスワードを預かることになります。そうすると以下の様な問題が生じます。（RFC にはもっと色々書いてあります。） アプリケーションが後の利用のためにアカウントやパスワードを平文、あるいは複... 続きを読む

自分の個人情報を販売できるサービス登場、クレジットカードからSNSに至るまであらゆるサービスから情報を収集して販売可能 - GIGAZINE

2014/10/03 55 users GIGAZINE Twitter Facebook 取捨 販売

ユーザーの使用しているアプリやサービスなどから収集した個人情報をユーザー自身が取捨選択して販売できる、というトンデモないサービスが「Datacoup」です。アカウント認証API(OAuth)を使ってTwitterやFacebook、Google＋などのサービスと連携させることで各サービスから情報を収集して販売したり、クレジットカードやデビットカードの取引情報などを販売したりもできてしまう、というこ... 続きを読む

Basic認証とOAuth - Qiita

2014/09/08 319 users Qiita username Email BASIC認証 認可

Basic認証とOAuthとその辺の情報について整理しておく。OAuthや認証・認可について説明しようとすると、1文字記述するたびに誤りが含まれてしまう可能性があるので、本当に緊張感を持って記述しなければならない。それでもなお、この文章にはたくさんの誤りが含まれている。 UsernameとPasswordを受け取って認証する形式の認証方法。UsernameにはEmailを使うこともある (要は全ユ... 続きを読む

OAuth/OpenID Connectを用いてID連携を実装するときに気を付けること #yapcasia // Speaker Deck

2014/08/30 146 users yapcasia Speaker Deck ID連携

All slide content and descriptions are owned by their creators. 続きを読む

OAuth - アクセストークンに有効期限を設けるべきかどうか - Qiita

2014/08/27 243 users アクセストークン Qiita GitHub API 主張 仕様

OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3では... 続きを読む

OAuthとOpenIDに深刻な脆弱性か--Facebookなど大手サイトに影響も - CNET Japan

2014/05/07 397 users Facebook OpenID OpenSSL シンガポール

OpenSSLの脆弱性「Heartbleed」に続き、人気のオープンソースセキュリティソフトウェアでまた1つ大きな脆弱性が見つかった。今回、脆弱性が見つかったのはログインツールの「OAuth」と「OpenID」で、これらのツールは多数のウェブサイトと、Google、Facebook、Microsoft、LinkedInといったテクノロジ大手に使われている。 シンガポールにあるNanyang Tec... 続きを読む

OAuth認証を一手に行うOAuth.ioのJavaScriptクライアント「oauth-js」|オープンソース・ソフトウェア、ITニュースを毎日紹介するエンジニア、デザイナー向けブログ

2013/08/10 211 users OpenID OAuth認証 エンジニア ソフトウェア 仕様

oauth-jsはJavaScript製のソフトウェア（ソースコードは公開されていますがライセンスは明記されていません）です。ソーシャルなサービスが増えるのに伴ってOAuthプロバイダーはどんどん増えています。OpenIDと違って、同じ仕様で全てがこなせないのが辛いところです。そこで使ってみたいのがOAuthをまとめてくれるOAuth.ioで、さらにそれを簡単にしてくれるのがoauth-jsです。... 続きを読む

あらゆるRESTのテストが出来るWEB開発者用Chromeアプリ「Postman」:phpspot開発日誌

2013/07/19 98 users Postman REST http POST BASIC認証

あらゆるRESTのテストが出来るWEB開発者用Chromeアプリ「Postman」 2013年07月19日- Postman あらゆるRESTのテストが出来るWEB開発者用Chromeアプリ「Postman」。 通常のHTTP、Basic認証、ダイジェスト認証、OAuth等のテスト用クライアントとして活用できます。 HTTPであればGET、POST等のメソッドを選んで、任意のデータを送信することが... 続きを読む

開発環境をAmazonEC2に移した結果、僕のVimはもうしゃべらない - サーバーワークス エンジニアブログ

2013/03/25 82 users vim MacBookAir Railsアプリケーション

こんにちは、新規開発チームの千葉(@kachina_t)です。 現在、OAuthを使い認証処理を外部アプリで実施するアプリの開発をしています。 ちょっとややこしいのですが、このプロジェクトでは 開発環境で2つのRailsアプリケーションを起動する必要があり MacbookAirのファンに限界を感じていた私は 開発環境をEC2に移行し、自マシンに少しでもラクをさせてあげられないか。 と思い立ちました... 続きを読む

TwitterのOAuthの問題の補足とか

2013/03/07 79 users Twitter mala gist.github.com

https://gist.github.com/mala/5062931 の続き。 Twitterの人に色々と問題点は伝えたんだけど、これからOAuthのサーバー書く人や、クライアント書く人が似たような問題を起こさないようにするために、どうすればいいのかについて簡単に書きます。既存の実装真似して作るとうっかりひどい目にあう。 自分は意図的に「Twitterの脆弱性」という表現を使わないように気を使... 続きを読む