2023/10/05 Offersさんのイベントでの資料です。 https://offers.connpass.com/event/295782/ イベント後の満足度アンケート(5点満点)の結果は以下になります。 5点: 49% 4点: 39% 3点: 8% 2点: 4% こちらの…
oauthに関するnabinnoのブックマーク (146)
-
nabinno 2023/10/09
-
-
HerokuのOAuthトークン流出で、やっておくといいことリスト(コメント大歓迎)
2022年4月16日(日本時間)にアナウンスがあった、Heroku/Travis-CIのOAuthトークンの流出および悪用を受けて、ユーザーとしてやっておくといいことをまとめました。 GitHubのOrganizationのオーナー向けと個人向けで分けてあります。 追記: 複数の補足のコメントを頂き、記事にも取り込んでいます。ありがとうございます! 注意 執筆者はGitHub, Heroku, Travis-CIの専門家ではありません。この記事は誤っている可能性があります。 この記事は現在調査中の問題について書かれています。最新情報は必ず公式サイトをご確認ください。 GitHub Heroku Travis CI インシデントの概要 GitHubがHerokuとTravis-CIのOAuthアプリケーションに発行したトークンが流出・悪用したことで、それらの連携が有効だった多くのOrgani
-
-
-
-
OAuth認証とは何か?なぜダメなのか - 2020冬 - r-weblife
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS— greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
-
OAuth 2.0 クライアント認証 - Qiita
サーバーは、受け取ったクライアント証明書の主体識別情報が事前登録されているものと一致することを確認し、もってクライアント認証とします。 このクライアント認証方式には tls_client_auth という名前が与えられています(MTLS, 2.1.1. PKI Method Metadata Value)。 なお、クライアント証明書には OAuth 2.0 の文脈におけるクライアント ID は入っていないので、クライアント証明書だけではクライアントを特定することはできません。そのため、クライアント証明書を用いるクライアント認証をおこなう際は、別途クライアント ID をリクエストに含める必要があります。通常は client_id リクエストパラメーターが使用されます。 1.8. self_signed_tls_client_auth クライアント証明書を用いるクライアント認証において、PKI
-
OAuth 認証を真面目に考える | DevelopersIO
認証とログインは別と捉えることで、その状態の維持に着目してその手法を考えましょう。OAuth 認証は2018年現在、必要悪としか言いようがありません。ぐぬぬ。ソーシャルログインであっても、Web サーバーで自前のセッションを管理してください。 永遠の生魚おじさん、都元です。学生時代、ロックバンド Harem Scarem の Mood Swings (1993年) っていうアルバムが好きでよく聞いてたんですけど、この前 Google Play Music で検索してみたらMood Swings II (2013年) っていうアルバムが出ていることに気づきました。なんと曲目が全て一緒で、妙なアレンジのリミックスになっていない、まさに「オリジナルのまま20年磨き続けたらこうなりました」みたいな仕上がりが最高でした。聴き比べて楽しんでいます。 さて、弊社は本日を最終営業日として、これから冬季休業
-
OAuth 2.0を使うソーシャルなAndroidアプリの作り方 (1/3) - @IT
ネイティブアプリで実践! mixi Graph API活用法 OAuth 2.0を使う ソーシャルなAndroidアプリの作り方 株式会社ミクシィ システム本部 技術部 たんぽぽグループ 藤崎 友樹 プラットフォームサービス開発部 鶴原 翔夢 2011/3/30 最近よく耳にする「OAuth」とは、mixi、Facebook、Twitterなどの外部サービスと自アプリケーションを連携するための技術です。 「クラウド」「ソーシャル」というキーワードが叫ばれている昨今では、こういった連携をいかにうまく行うかということがユーザー体験を向上させる鍵となります。 特に「ソーシャル」を取り入れることは以下のような点でメリットがあると考えられます。 ユーザーのソーシャルグラフを活用して、アプリをバイラル・マーケティングできる 現実の人間関係をベースにしたユーザー体験(UX)を提供し、継続的にアプリを使っ
-
AndroidアプリからOAuth認証のウェブサービスにログインする - nirasan's tech blog
はじめに http://nirasan.hatenablog.com/entry/2012/10/28/170617 で作ったOAuth認証するウェブサービスにAndroidからログインする 参考サイト https://developers.google.com/accounts/docs/MobileApps https://sites.google.com/site/oauthgoog/oauth-practices/mobile-apps-for-complex-login-systems/samplecode サンプルコードのとおりに実装 サンプルコードは前述のこちら https://sites.google.com/site/oauthgoog/oauth-practices/mobile-apps-for-complex-login-systems/samplecode 実際の
-
-
Cognito UserPoolsのFederationの使い方と、そのJWTを独自APIサーバーで検証する方法 - Qiita
Cognito Federated Identities と、Cognito User Pools の Federation とは別の機能です。 よくあるユースケースとして、Cognito User Pools のユーザーに対して API Gateway の認証必須 API を呼び出せるようにするというものがあると思いますが、その場合は、Cognito User Pools を Cognito Federated Identities の認証プロバイダとして登録する必要があります。 ですが、今回は API Gateway の API ではなく、独自サーバーの API なので、Federated Identities は不要です。 2018/04/27追記 API Gatewayの機能でAPIのエンドポイントに対して Authorization: COGNITO_USER_POOLS を設定
-
ユーザープールにソーシャルサインインを追加する (オプション) - Amazon Cognito
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 ユーザープールにソーシャルサインインを追加する (オプション) アプリユーザーが Facebook、Google、Amazon、Apple などのソーシャル ID プロバイダー (IdP) を介してサインインするようにできます。ユーザーが直接サインインしても、サードパーティーを介してサインインしても、すべてのユーザーにはユーザープールにプロファイルがあります。ソーシャルサインイン ID プロバイダーを通じてサインインを追加しない場合は、この手順を省略してください。 ソーシャル IdP に登録する Amazon Cognito でソーシャル IdP を作成する前に、アプリケーションをソーシャル IdP に登録して、クライアント ID とクライアントシークレットを取得す
-
AWS Cognitoのエンドポイントを使いこなす - Qiita
OpenID Connectでは、以下の4つのアクセス権限付与フローが定義されています。 Authorization Code Grant Implicit Grant Resource Owner Password Credentials Grant Client Credentials Grant これらは、AWS Cognitoにある以下の5つのエンドポイントを組み合わせて実現します。 認証エンドポイント (/oauth2/authorize) ユーザーをサインインさせます トークンエンドポイント (/oauth2/token) ユーザーのトークンを取得します。 ログインエンドポイント (/login) ユーザーをサインインさせます。ログインページにロードされ、ユーザーにクライアントに設定されている認証オプションを提示します。 ログアウトエンドポイント (/logout) ユーザーを
-
Mockを使って、Facebookログイン部分のRSpecを書いてみた!! - Clueit Developersブログ
こんにちは、エンジニアの神山です。 最近、テストカバレッジを上げるためRSpecを書きまくっています。ちなみに最初は90%でしたが、苦闘の末95%まで上がりました。結構骨が折れましたね。 その中でも大変だったのがFacebookログイン部分のテストです。外部APIを使っており、そこの部分のテストの書き方が分からなくて悩んでいました。 色々と調べてみるとモックを使うとうまいことテスト出来るよという文献を見つけました。 ということで今回は、外部API部分のテストの問題点、モックとは何か、またそれをどのようにテストに使うのかにフォーカスして記事を書きました。 外部API部分のテストの問題点 今回悩んだのは外部APIを使用している部分のテストをどのように書くかということです。 例えば、「ログインしようとしているユーザーのFacebookのアカウント情報を取得し、すでにDBに登録されていればログイン
-
OpenID ConnectのIDトークンの内容と検証 - sambaiz-net
OpenID Connectは認可 (AuthoriZation) のプロトコルであるOAuth 2.0を正しく認証 (AutheNtication) に使うためのプロトコル。 OpenID Connect Core 1.0(日本語訳) OAuth2.0のメモ - sambaiz-net OpenID Connect では OAuth のアクセストークンに加えて Issuer (IdP) によって署名されたJWT (JSON Web Token) 形式のIDトークンも返す。 このIDトークンの署名を検証し、含まれる Issuer とクライアントの情報を参照することで OAuth の Implicit flow でのトークン置き換え攻撃を防ぐことができる。 JWT/IDトークン JWT は RFC7519 で定義されている、パーティ間で安全に Claim (エンドユーザーのようなエンティティ
-
-
-
Amazon.co.jp: 雰囲気で使わずきちんと理解する!整理してOAuth2.0を使うためのチュートリアルガイド: Auth屋: 本
公式Twitter
- @HatenaBookmark
リリース、障害情報などのサービスのお知らせ
- @hatebu
最新の人気エントリーの配信
キーボードショートカット一覧
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Copyright © 2005-2025 Hatena. All Rights Reserved.
設定を変更しました