OAuth

「ID TokenをAuthorization Headerにつけて送る」というお作法について思うところ

こんばんは、ritouです。 ID Tokenがやりとりされている背景 ちょっと前にこんな話がありました。 blog.ssrf.in この id_token が JWT になっていますので、これを Authorization: Bearer $ID_TOKEN というヘッダにして oauth2-proxy で保護されているアプリ…

JWT+RDBを用いたOAuth 2.0 ハイブリッド型トークンの実装例

おはようございます、ritouです。 (⚠️認可イベントの識別子のあたり、ちょっと見直しました!最初に見ていただいた方はもう一回どうぞ!) 前回、ハイブリッド型と呼ばれる OAuth 2.0 のトークン実装について書きました。 ritou.hatenablog.com その続きとし…

OAuthのハイブリッド型アクセストークン実装に関するあれこれ

おはようございます。ritouです。 先日オンラインで開かれたAuthlete社の勉強会で、アクセストークンの実装パターンについて触れられていました。 www.authlete.com (titleはもうちょっとなんとかする方が良さそう) ドキュメントでいうとこの辺りでしょうか…

OIDC CIBAのようなDecoupled AuthZ/AuthNプロトコルでリスクベース判定したくない?

おはようございます。ritouです。 OAuth 2.0 の Device Flow(RFC 8628) や OpenID Connect Client Initiated Backchannel Authentication Flow(いわゆるCIBA)、XYZ/XAuthといった次のOAuth候補みたいなプロトコルでは次のような流れがサポートされています。…

OAuth 2.0/OIDCに入門した開発者が仕様沼に潜るための次のステップとは?

お疲れ様です、ritou です。 OAuth 2.0やOIDCの入門書(?)を読み終えた開発者の方に、仕様を理解していくための次のステップは何があるかを聞かれました。 そもそもそんなこと言う人は クライアントを実装したい(しなければならない) 認可サーバーを実装した…

ID連携におけるCSRF対策のチェック方法

こんばんは、OAuth‍♂️です。 緊急事態宣言、外出自粛、みなさまどうお過ごしでしょうか? お家に高い椅子と4KディスプレイとYouTuber並みのマイクを準備し、ようやくOAuth/OIDCを用いたID連携機能の実装に手をつけられるようになった頃かと思います。 本日は…

OAuth 2.0 / OpenID Connect の Hybrid Flow への向き合い方

ritouです。 OAuth 2.0 / OIDC を触って「そろそろ完全に理解したって言っちゃおうかな」なんて思った時に出会ってしまうのが Hybrid Flow です。 某書籍のレビュー時に Hybrod Flow について著者といくつかやりとりをしたのですが、なんだかんだで結構やや…

怖くないネイティブアプリケーションにおけるID連携機能を実装するための考え方

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブ…

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

Transactional Authorization - "XYZ"と呼ばれる認可プロトコルとは

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の特定の脆弱性を防いだりするために作られ…

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I beli…

ファーストパーティーなアプリが使うOAuth/OIDCについてのお話 2019 春

夜分遅くに失礼いたします。ritouです。 こういう記事を読むとうずうずします。おそらく病気です。 terut.hatenablog.com 森羅万象を担当しているわけではないので、OAuth/OIDCが使えんのか?って観点から書いておきます。 ファーストパーティーのOAuth/OIDC…

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

OAuth 2.0 の Implicit grant 終了のお知らせ

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

Authlete の OAuth 2.0 / OIDC 実装ナレッジ 完全に理解した

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

FAPI : JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) とは

ritou です。 みんな大好きJWT。今日もみんなで eyJ!ということで、今回はこちらの仕様について説明します。 openid.net 概要 This document defines a new JWT-based mode to encode authorization responses. Clients are enabled to request the transmis…

The Introduction of OAuth WRAP vol.2 : JavaScript Profile on FriendFeed

今回はJavaScript Profileの方の流れを見ていきます。 まだ仕様出てきてるわけでもないので、サンプルを参考にサンプルを作ってみると。 http://developers.facebook.com/news.php?blog=1&story=350 http://open.lukeshepard.com/oauth-wrap/console/ 今回も…

The Introduction of OAuth WRAP vol.1 : Web App Profile on FriendFeed

OAuth WRAPって知ってますか? http://developers.facebook.com/news.php?blog=1&story=350 http://bret.appspot.com/entry/oauth-wrap OAuth / OAuth WRAP Google グループ OAuth WRAP - Codin’ In The Free World まだ仕様を細かい部分まで読めてないのと…

OAuth for Mobile - Yahoo! JAPAN, Googleの実装 -

Yahoo! JAPANのOAuthがmobile対応していることをご存知でしょうか? Tech Blogに担当者のエントリが出ています。モバイル版OAuthの便利な活用方法 - Yahoo! JAPAN Tech BlogOAuthはブラウザでユーザーがConsumer Appに対して認可をすることで、Web/Clientを問…

PHPを読んだことある人のためのOAuthのSignature解説

今回はOAuthのお話です。 なんとなく、世の中に出回っているライブラリを使わず、OAuthの機能を独自で1から作りこむ人もけっこういるような気がします。 今回はPHPのOAuthライブラリを用いて、HMAC-SHA1のSignatureを作成するときのロジックを見てみます。…

gooホームのOAuth対応から今後のOpenSocial Gadgetを考える

■ gooホームのOAuthリクエスト実装 「goo Social Platform」にOAuthリクエスト機能を追加 - 「goo」の広報ブログ「gooの音」 gooホームガジェットからOAuthが利用できるようになりました! - gooホーム Developer's Recipe http://developer.home.goo.ne.jp/…

OpenSocial Signed Requestライブラリ(PHP)は便利ですよ!

http://devlog.agektmr.com/ja/archives/597 OpenSocialのSigned Requestは、ガジェットからの外部通信リクエストに署名を付けることで、パラメータの内容が改ざんされていないかを検証可能にする仕組みです。 一般に2-legged OAuthやSigned Request、OAuth …

【宿題】twitterのcallback URLのあたりについてはっきりさせたい!

■ 目的 何度となく調べているtwitterのOAuth仕様だが、callback URLのあたりがまだ曖昧 ( twitter,FriendFeedのOAuth実装について - r-weblife ) ■ 今回調べること BrowserAppのoauth_callbackによるふるまい ClientAppのoauth_callbackによるふるまい ■ Bro…

twitter OAuth利用時の文言調査+α

twitter周りでひとつネタふられました。 変なテンションなのでこのエントリは長編になります。Mobster WorldのスパムDMについて - tzmtkのブログ■ 宿題 「This application plans to use Twitter for logging you in in the future.」だけ異なるのは、 Twitt…

MobstarWorldのOAuth利用スパムについて

最近、エンジニアとして調子悪いので、他人のブログエントリから復帰のタイミングを探っていきます。 今日はまちゅさんのこのエントリに注目!!OAuthを悪用したTwitter DMスパムが登場 - まちゅダイアリー(2009-08-01)■ まず、言っておきたいこと この件は…

MySpaceのAPIを使ってみた。

■ 目的目的としては以下の3点で、取得できたデータを表示するだけのコードを書きました。 OpenID OAuth Extensionを利用する Portable Contacts APIを利用する Activity Streamsも取得する OpenID,OAuth,PortableContacts,OpenSocialの要素を含んで、なんかS…

【仕様紹介】Yahoo!のOAuthでUser Authorization URLにつけるRequest Tokenパラメータはオプションです

OAuthの処理で、End UserをSPにリダイレクトさせてリソースアクセスの認可をなんちゃらするときに、Request Tokenをパラメータとして追加するのが暗黙の了解になってます。 が、仕様 OAuth Core 1.0aで"6.1. Obtaining an Unauthorized Request Token"のあた…

OAuth on Yahoo! JAPAN

少し反響を見てみよう、と思ったけど反応少ない。http://blog.okanomail.com/2009/07/yahoo-japan-to-be-oauth-provider-oauth.html OpenID は普及したといっても今ひとつ盛り上がりに欠けていますが、 OpenID の欠点を補って開発された OAuth が普及すると…