Abstract OAuth 2.0 は, サードパーティーアプリケーションによるHTTPサービスへの限定的なアクセスを可能にする認可フレームワークである. サードパーティーアプリケーションによるアクセス権の取得には, リソースオーナーとHTTPサービスの間で同意のためのインタラクションを伴う場合もあるが, サードパーティーアプリケーション自身が自らの権限においてアクセスを許可する場合もある. 本仕様書はRFC 5849に記載されているOAuth 1.0 プロトコルを廃止し, その代替となるものである. Status of This Memo This is an Internet Standards Track document. This document is a product of the Internet Engineering Task Force (IETF). It re
#はじめに Faraday Middlewareのoauthやoauth2についての記事が少なかったので,ソースコードを読んで分かったことを備忘録として残しておく. #環境 macOS Sierra (10.12.1) ruby 2.0.0p648 (2015-12-16 revision 53162) [universal.x86_64-darwin16] faraday (0.10.0) faraday_middleware (0.10.1) #Faradayについて まずFaradayについて. gem install faraday でインストールできる.HTTPクライアントの一つ.Rubyで単にGETやPOSTしたかったら標準ライブラリのNet::HTTPを使えばよいが,少し複雑になるとFaradayのほうがスッキリと書ける.また,Faraday Middlewareを使うことで
SNSなど複数のWebサービスが連携して動くサービスは広く使われている。連携に必要不可欠なのが、アクセス権限をセキュアに受け渡すための「OAuth 2.0」といった仕組みだ。今回はOAuth 2.0に関連する代表的な5つの脆弱(ぜいじゃく)性と攻撃手法、対策についてシーケンス図を使って解説する。 OpenID Foundation Japan Evangelistのritouです。 連載第1回では、RFCが公開されてから5年が経過した「OAuth 2.0」を振り返り、3つのユースケースを通じて、アクセス権限を受け渡す仕組みを紹介しました。OAuth 2.0はさまざまなユースケースに適用できます。その際、開発者はアプリケーションが動作する環境の特性を考慮しながら、仕様で定義されている処理を実装する必要があります。 今回は、脆弱(ぜいじゃく)性を作り込まないOAuth 2.0の実装手法を紹介し
連載 INDEX 次回 → はじめまして、OpenID Foundation Japan事務局長のNovです。 このたびは、Build InsiderでOAuth 2.0とOpenID Connectに関する記事を書かせていただくことになりました。 今回はOAuth 2.0、次回はOpenID Connectについて、ユースケースごとのフロー(Flow)や関連仕様についてまとめていきます。 OAuth 2.0仕様策定から5年 OAuth 2.0はIETF OAuth WG*1で仕様策定されている標準仕様群である。 最もコアとなるRFC 6749&RFC 6750はどちらも2012年にRFC化されており、すでに策定から5年以上が経過している。OpenID Foundation Japanの翻訳WGでもこれらは翻訳済みである。 The OAuth 2.0 Authorization Frame
あるサイト制作でFacebookを使った会員登録やログインを実装してました。OAuth2という認証方式が使われていたので、仕組みを 「SNS連携やってみた!OAuth2の処理の流れまとめてみる」にまとめました。PHPはSDKが準備されているのですが、今回はOAuth2の仕組みの勉強がてらSDKを使わずにPHPでアクセストークを取得する処理をまとめてみます。 完成サンプル:GitHub 事前準備 例としてFacebookを使った会員ログインを考えます。少しでも手間を楽にしたら会員登録してくれる人も多くなるはずと、最近ではSNSを使ったログインが多くなりました。 クライアント(サイト制作者)はFaceBook(サービスプロバイダー)を使ったログインをするため、Facebookに使わせてくださいと登録します。そこで使う権限などを登録してAPIを利用するためのIDなどを発行してもらいます。なのでま
##はじめに Googleドライブ上のスプレッドシートを読み書きするアプリ作成のため Google APIの手続きを行ったのですが、その手続きがとっても面倒でした。 なので、メモしておいた手順を私的な備忘録としてこちらに公開してみます。 今回リフレッシュトークンがどうしても必要だったのですが、 仕様変更で以前よりリフレッシュトークンの取得が若干面倒になったようです。 以下は、リフレッシュトークン取得を目指したやり方になります。 ##手順 ####1、取得に使うGoogleアカウント作成、ログイン ####2、Google Developers Consoleにアクセス https://console.developers.google.com (設定でサイトを日本語に変更可能だが、翻訳がややこしいので英語版推奨) ####3、API ProjectをCreate、左メニューのAPIs&au
タイトル: 『これからのネイティブアプリにおけるOpenID Connectの活用』 概要: 近年モバイルアプリケーションの多くはログインを必須としています。自社他社提供のWeb APIの利用にあたりクライアントサイド、サーバーサイドのそれぞれにおいて認証の仕組みを理解し、正しい認証の実装が求められます。 本セッションではユーザーとデバイスの2つの視点でモバイルにおける認証をご紹介します。 ユーザー認証のパートでは、OAuth 2.0ベースのID連携の問題点に触れ、その課題を解決するためのOpenID Connectの仕様について解説します。 デバイス認証のパートでは、スマートフォンやタブレットを識別するための仕様の解説と活用方法について解説します。 Developers Summit 2014 【13-C-5】 Feb. 13, 2014 URL: https://event.shoei
The document discusses OAuth 2.0 and its updates. It provides a brief history of OAuth including versions 1.0 and 2.0. It explains the core specification of OAuth 2.0 including authorization servers, resource owners, clients, access tokens, and response types. It also summarizes the token type specification and security considerations for OAuth implementations.Read less
各種APIをクライアントプログラムから利用するためには、OAuth 2.0 Protocolにより規定された認可を行うことが求められます。この手順により、クライアントプログラムがどのようなAPIアクセスを行い、そしてどのような情報が参照または更新されるのか(これをスコープと呼びます)がユーザに提示されます。ユーザの認証、および提示されたスコープについてユーザが同意した場合にのみ、クライアントプログラムはAPIにアクセスするための情報(トークンなど)を得ることができます。 [RFC 6749 - The OAuth 2.0 Authorization Framework] http://tools.ietf.org/html/rfc6749 [RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage] http:
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
Blogger