ParseっていうBaaSのソーシャル連携の実装がよろしくない気がする

おはようございます, ritouです. これから寝ます.おやすみなさい.※2012/06/03 : 本件について続きのエントリを書きましたので合わせてご覧ください ParseっていうBaaSのソーシャル連携の実装がよくなった気がする - r-weblifeちょっと前にID厨としての師匠の…

SITFのWGにて技術面で検討したことと今後やっていくこと

こんばんは、ritouです。さっきまで、このセミナーに参加していました。 http://www.openid.or.jp/modules/news/details.php?bid=49OpenIDファウンデーション・ジャパンとその他の企業で構成されたWGでは、学認が持つ学生情報を民間サービスに流通させるため…

Twitterのパスワード流出の話で思ったこと

最初に記事が流れた時、こんなことを思った。 ほんとにTwitterアカウントのID or Email/PWのセットなのっ? この手の話は「ぜんぜん関係ない文字列やEmailでございました」というオチも多い気がするので。 大半はスパムアカウントとして停止されているもので…

PCのLINEアプリにQRコードでログインできるのはちょっとよくないと思う

こんばんは、ritouです。 QRコードでログインするには? QRコードでログインすると、メールアドレスを登録しなくてもPC版をご使用になれます。 1. QRコードタブを選択するとQRコードが表示されます。これをLINEアプリの「友だち追加 > QRコード」にあるQRコ…

一般開発者に公開されたY!JのSocial APIをさっそく試してみる

こんばんは、ritouです。 Y!JのSocial APIやっとキター! もう一般開発者には公開されないものだと思ってたー! http://developer.yahoo.co.jp/webapi/social/ https://twitter.com/#!/ritou/status/184909742144094208 ということで、みんな使ってるかどうか…

QRコード+スマートフォンでログインさせる機能を実装してみた

こんにちは、ritouです。前にこんなエントリを書きました。 GoogleのQRコードログインのしくみを勝手に想像する - r-weblifeOpenID ConnectのDemo OPで使えるようにしてみました。 ※OpenID Connectの仕様とは全く関係ありません。 やりたいこと セキュリティ…

OAuth 2.0でユーザーが認可をする"アプリケーション"とはサービス全体のことではない

こんにちは、ritouです。今回の内容は、Webブラウザからのみ利用できるサービスや特にiPhoneアプリのみ提供しているサービスではなく、 「一つのサービスをWebブラウザからもモバイルアプリからも利用できるようなサービス」についての話です。こちらで取り…

Yahoo! JAPANの複数プロフィール対応は実に興味深い

こんばんは、ritouです。最近、Yahoo! JAPANがこのような対応を行ったそうです。 http://event.yahoo.co.jp/7nn/ 1つのYahoo! JAPAN IDで、複数の“顔”を設定し、使い分けることが可能に -INTERNET Watch Watch Webサービス(特にSNS)における複数プロフィー…

OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon

おはようございます、ritouです。 今回は、一部で先週話題なりましたOAuth 2.0のImplicit Flowについてのエントリになります。(2012/2/7 いろいろと修正しました。) 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができ…

GoogleのQRコードログインのしくみを勝手に想像する

こんばんは、ritouです。GoogleがQRコードを用いたログインを実装していたという記事を見つけました。 Log into Gmail on a PC via Your Smartphone | PCWorld Good night, Posterous この機能について勝手にしくみを想像し、問題と解決案を提案します。 概…

OAuth 2.0時代の署名つきリクエストとは

こんばんは、ritouです。前回のmixiページアプリについてのエントリでOAuth 1.0の署名つきリクエストが使われていることに触れました。mixi Graph APIはOAuth 2.0対応してるのに、、、と少しモヤモヤしたので、まずはOpenSocialの新しいSpecのSigned Fetchの…

mixiページアプリとOAuthの関係

こんばんは、ritouです。 今年もがんばりましょう。mixiページアプリをご存知でしょうか? mixiページアプリ << mixi Developer Center (ミクシィ デベロッパーセンター) http://page.mixi.co.jp/functions/apps/ ここでいう「メニューアプリ」 第3回 はじめ…

Googleの2段階認証で使われているOTPの仕様が気になった

こんばんは、ritouです。最近、Googleでいわゆる2段階認証といわれる2要素認証のしくみが日本のモバイル端末でも利用可能になりました。 利用方法などは既にネット上に広まっているので今回は省略して、その中で使われている追加の認証機能に注目します。 Go…

Quoraのログイン周りの挙動を見直してみる

こんばんは、ritouです。 tzmtkが軽ーくふってきたネタに軽々しく食いついてしまい、一昔前に素晴らしいQ&Aサービスだとか言われて登録までやったQuoraのログイン周りの挙動を見直してみました。http://www.quora.com 一回ログインしたらもうパスワードいら…

JanRain Engageでmixiをログインに使う方法 - α

こんばんは、ritouです。http://www.janrain.com/blogs/janrain-engage-adds-mixi-social-login-identity-provider JS導入+簡単なAPIアクセスからF,T,G,Yなどのログインが利用できるJanRain Engageで、mixiが利用できるようになりました。という記事です。…

GoogleでわかるAccount Chooser

こんばんは、ritouです。今回の内容はこんな感じです。 Account Chooserとは何かを感じる GoogleのログインをAccount Chooser仕様に変更してみる Google Identity Toolkitを用いてAccount Chooserの実装を試してみる 長文注意です。 Account Chooserとは Acc…

ユーザーによるOAuthのScope選択について

こんにちは、ritouです。急に寒くなってきましたが、いかがお過ごしでしょうか?最近、Android Appのインストール時のPermissionが話題になったりしてます。 その話になると、OAuthの同意画面も同じじゃないかとかも言われます。OAuthにおける同意内容という…

OpenID Connect for Android App

こんばんは、ritouです。OpenID ConnectはOAuth 2.0ベースなので、OAuth 2.0のClientが動作する環境であればどこでもOpenID Connectをできるはずです。 「AndroidアプリでOpenID Connectを導入したい!」って思ったときに昔話を思い出して「あれ?OpenIDって…

OAuth 2.0からのGoogle+ APIの使い方

追記:この情報だいぶ古いので気をつけてください。 こんばんは、ritouです。タイトルの通り、最近発表されたみんな大好きGoogle+のAPIではAuthorization部分にOAuth 2.0が使われています。 Getting Started on the Google+ API - Google+ Developers Blogさ…

OpenID ConnectでOpenID Auth 2.0ライクな動的UXを実現する方法

こんばんは、ritouです。 忘れてしまっている方もおられるかと思いますが、いわゆるOpenID(Authentication 2.0)を使って認証要求を送るまでに、次のような処理が行われます。 ユーザーがOP選択 or 識別子の入力 RPがDiscoveryを行い、OP Endpoint URLを取得 …

OpenID Connectを体験できるデモ環境の紹介

こんばんは、ritouです。 最近、OpenID Connectのフローを体験できるサンプルOP/RPが出てきています。 OpenID Connect Sample OP まずはこちら。FbGraph と Rack::OAuth2 と OAuth.jp の中の人です。 http://oauth.jp/openid-connect-rubygem OpenID Connect…

OpenIDでRPから強制的にPW再確認させる方法

こんばんは、ritouです。 最近はOpenID Connectばっかりなので、たまには現役のOpenID Auth 2.0の話をしましょう。今日の内容は、「OpenIDでRPが必要な時にPW再確認をさせる方法」です。 Yahoo!(米)はGoogle/Facebookのアカウントを受け入れていますが、昔か…

GoogleでOpenID Connectを体験!

おはようございます、ritouです。 GoogleがOpenID ConnectのEndpointを実装したと聞きました。 Google's OpenIDConnect endpoint is now live in production, and we have a sample RP that shows the code required to use it at: http://oauthssodemo.apps…

OpenID Connectを実装するためのOAuth 2.0拡張

こんばんは、ritouです。7/8にmixiで行われたidcon #9でOpenID Connectの仕様を紹介させていただきました。 The Latest Specs of OpenID Connect at #idcon 9 私の力不足により、OpenID Connectを「よくわからん」「難しそうだ」と思われたかもしれませんの…

OpenID ConnectのUserInfo Endpointとは?

こんばんは、お久しぶりです、ritouです。 特に何かの準備というわけではありませんが、最近なんとなく気になってOpenID Connectの仕様をキャッチアップしています。今まで何度も取り上げているこのOpenID Connect、"良い意味で"仕様が細かくわかれています…

OAuth 2.0でClientのデータをExternal Protected Resourceとして扱う方法

こんばんは、ritouです。 前回のエントリの続きで、OAuth 2.0でClientのデータに他のClientから安全にアクセスできる方法を考えました。 何がやりたいか まず、現状のOAuth 2.0でのServer,Clientの関係はこんな感じになりますねと。twitpicのように、Client…

OAuth EchoはOAuth 2.0ベースになるとどうなるのか?

こんばんは、ritouです。 秋田はコンクリートジャンゴゥなわけでもないのに、なんか最近、暑いです。 OAuth Echoとは たくさんの方が調査されているので、細かい説明は省略。Delegator(Twitpic)がConsumer(Twitter Client)からリクエストをもらったときに、S…

もしも古着屋の値下げのしくみをネットショッピングが使ったら

こんばんは、ritouです。 さっきまでF1見てたので、普段と違う内容にします。 気になる古着屋の値下げのしくみ 近所に、こんな古着屋のチェーン店があって、料金のしくみが独特です。 ドンドンダウンオンウェンズデイ/DonDonDown on Wednesday|古着買取のリ…