OAuthプロバイダを提供することになったとして、アクセストークンに有効期限を設けるべきかどうかについて考えたい。OAuth 2.0の仕様にはアクセストークンの期限切れに関係する仕様が定義されているし、セキュリティをより強固にするためにアクセストークンは一定期間で期限切れにするべきだという主張があったと思う (確認していないので無いかもしれない)。しかしながら、例えばGitHub API v3ではアクセストークンに有効期限を設けていない。この投稿では、アクセストークンの有効期限に関係して起こり得る問題を取り上げる。 アクセストークンに有効期限を持たせておくとちょっと安全 アクセストークンが悪意のある第三者に漏洩してしまった場合、そのアクセストークンに認可されているあらゆる操作が実行可能になってしまうという問題がまず存在する。ここでもしアクセストークンに有効期限が存在していたとすれば、その操
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
Jobs at SeatGeek We are growing fast, and have lots of open positions! Explore Career Opportunities at SeatGeek **TL;DR:** We built OAuth2 authentication and authorization layer via nginx middleware using lua. If you intend on performing this, read the docs, automate what you can, and carry rations. As SeatGeek has grown over the years, we’ve amassed quite a few different administrative interfaces
はてなグループの終了日を2020年1月31日(金)に決定しました 以下のエントリの通り、今年末を目処にはてなグループを終了予定である旨をお知らせしておりました。 2019年末を目処に、はてなグループの提供を終了する予定です - はてなグループ日記 このたび、正式に終了日を決定いたしましたので、以下の通りご確認ください。 終了日: 2020年1月31日(金) エクスポート希望申請期限:2020年1月31日(金) 終了日以降は、はてなグループの閲覧および投稿は行えません。日記のエクスポートが必要な方は以下の記事にしたがって手続きをしてください。 はてなグループに投稿された日記データのエクスポートについて - はてなグループ日記 ご利用のみなさまにはご迷惑をおかけいたしますが、どうぞよろしくお願いいたします。 2020-06-25 追記 はてなグループ日記のエクスポートデータは2020年2月28
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
OAuth Authentication for Web Applications Google supports the OAuth protocol for authentication of web applications. This page describes Google's implementation of OAuth with instructions on how to use it. For more information on the OAuth standard, see the OAuth.net documentation. All applications making OAuth requests to Google must be registered and must sign all requests. See also the Google A
もうすぐSymfony2が出ますね!楽しみですね! でも、まだsymfony1.4もバリバリ現役ですよシリーズです。 twitterのOAuthをやりたくて... symfony1.4のアプリケーションでtwitter連携をしようと思い色々とライブラリを探してみた結果、手堅くということでZendFrameworkのOAuthライブラリを使うことにしました。。が、symfony1.4以降でのLoaderの設定を含めたやりかたが公式サイトにちょこっと掲載されているだけなので自分のためにメモしておきます。 プラグインで拡張する 複数のアプリケーションで使うこともあるでしょうし、将来違うプロジェクトでも使うことがあるかもということでごく普通にプラグインとして以下のような構造で用意しました。プラグインの中にOAuthを動かすために必要な最小限のZendのライブラリをlib/vendor/Zendディ
User Authentication Many of Flickr’s API methods require the user to be signed in. In the past we were using our own authentication API, but now, users should only be authenticated using the OAuth specification which is the industry standard. By using the OAuth standard you will provide in your applications a secure way for people to sign-in into their Flickr accounts with all the different accoun
「おーおーっすっ!」 てなこって、TwitterのAPIのBASIC認証も6月末に終了してOAuth/xAuthに移行するというこの時期に、あらためてOAuthについて勉強してみたんですのよ? OAuth認証を利用するライブラリは各言語で出そろってきてるのでそれを使えばいんじゃまいか? というと話が終わるので、じゃあそのライブラリの中身はなにやってんのよってことを、OAuthするScalaのライブラリ作りながら調べたことをまとめてみました。 間違っているところもあると思うのでツッコミ歓迎です>< OAuthってそもそもなんなの? ものすごくざっくりというと「API利用側が、ユーザ認証をAPI提供サービス側にやってもらうための仕様」って感じでしょうか? BASIC認証の場合、API利用側が認証に必要なアカウントやパスワードを預かる必要があるわけです。悪意のあるAPI利用側が「なんとかメーカー
Yahoo Mail、GMailが相次いでOAuthに対応しました。Yahoo Mailは3月25日、そしてGMailは3月30日に、OAuthに対応したことをそれぞれブログなどで発表しています。 メールはTwitterやGoogle Waveなどの登場で「時代遅れ」なコミュニケーション手段だといわれてはいますが、それでもいまだにネット上でもっとも使われているコミュニケーション手段だといえます。 そのメールのサービスとしてよく知られるGMailとYahoo MailがOAuthに対応したことで、メールがまた見直されるような新たな付加価値サービスが登場するかもしれません。 OAuthはサードパーティにアクセス権を与える OAuth(オース)は、Webサービスをマッシュアップするときに使える認証方式です。例えば、GMailの自分のInboxにアクセスして何らかの操作(例えばメールのバックアップ
OAuth Providers Open Source Authentik a12n-server Casdoor Glewlwyd Omejdn Keycloak OAuth.io ORY Hydra oidc-provider SimpleLogin Spring Authorization Server SSQ signon WSO2 Identity Server ZITADEL boruta Logto Commercial Asgardeo Auth0 Authgear Authress cidaas Clerk Corbado Curity Identity Server Descope ForgeRock FusionAuth LoginRadius Okta PingId Red Hat Single Sign-On Stytch ZITADEL Cloud IBM Cl
GT Nitro: Car Game Drag Raceは、典型的なカーゲームではありません。これはスピード、パワー、スキル全開のカーレースゲームです。ブレーキは忘れて、これはドラッグレース、ベイビー!古典的なクラシックから未来的なビーストまで、最もクールで速い車とカーレースできます。スティックシフトをマスターし、ニトロを賢く使って競争を打ち破る必要があります。このカーレースゲームはそのリアルな物理学と素晴らしいグラフィックスであなたの心を爆発させます。これまでプレイしたことのないようなものです。 GT Nitroは、リフレックスとタイミングを試すカーレースゲームです。正しい瞬間にギアをシフトし、ガスを思い切り踏む必要があります。また、大物たちと競いつつ、車のチューニングとアップグレードも行わなければなりません。世界中で最高のドライバーと車とカーレースに挑むことになり、ドラッグレースの王冠
お久しぶりです、最近はすっかり寒くなってきましたねー。原宿のオフィス環境に最近慣れてきたトールマエサカです。さておき、今日は認証API系のお話をしたいと思います。 OAuthとは? OAuthとは、最近注目されているウェブ上での認証プロトコルの事です。1.0プロトコルの最終ドラフトが、今月リリースされ、良い機会なのでエンジニアブログに書いてみました。 このエントリーを書いている課程で資料を検索してみたらまちゅさんが大変素晴らしい記事: WebAPI のアクセス制御に使える OAuth という仕様 OAuth の Auth は認証?認可? (私もそう思う) を既に書かれている事に気がついたので私は軽くなめる程度にします。 で、実際にOAuthがどういう風に役に立つかというと、例えばウェブサービスAがウェブサービスBから、サービスBでのユーザの認証情報 (idとかpassword) を問わずに
_ OAuth - リソースへのアクセスを代行するプロトコル [oauth][openid] [2007-09-23-1] で AtomPub の認証について書いたからというわけではな いのですが,OAuth というプロトコルの仕様を斜め読みしたのでメモして おきます.間違いがあったら教えていただけると嬉しいです m(_ _)m (追記) OAuth の「背景」みたいのについては,miyagawa さんからもらっ たコメントと,まちゅさんのエントリが参考になります. - miyagawa さん oAuthはFlickr,GoogleAuthSub,Y!BBAuth,AOL openAuth,TypeKeyなんかの 統合プロトコルという位置づけ。例では401->WWW-Authenitcateが handshake になってるけど実際はもっと他の方法で運用されるんじゃない かなぁ - まちゅ
2007-09-25 miyagawa さんの Twitter で知ったけど、 OAuth という仕様が公開された。 日本語の情報は、OAuth - リソースへのアクセスを代行するプロトコルに、詳しいメモが書かれている。仕事が速いなぁ…。 OAuth は,第三者に対して,認証を要求するリソースへのアクセスを一時的に許可するためのプロトコルです. たとえば,写真印刷サービスがあるとします.そして,あなたは flickr に保存してある非公開写真の印刷を依頼しようとしています.このとき,写真を “公開” 状態にすることなく,また flickr へのログイン情報を教えることもなく,印刷を依頼することができます. 面白そうな仕様なので、ちょっと整理してみよう。 OAuthのメーリングリストなどは全然読んでいないので、勘違いがあるかもしれない。 OpenID が認証のための仕様だとすると、 OAut
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
