OAuth

怖くないネイティブアプリケーションにおけるID連携機能を実装するための考え方

おはようございます、ritou です。 qiita.com 3日目です。やっていきましょう。 ネイティブアプリのID連携 「今年の汚れ今年のうちに」なんていうフレーズがあります。 記憶が確かではないですが、たしか 7 月ぐらいにどこかの決済サービスによりネイティブ…

OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。 今日もやっていきましょう。 今回の内容 OAuth 2.0/OpenID Connect(OIDC)の新しい拡張仕様の記事などを書くときに 「OAuth 2.0のこ…

Transactional Authorization - "XYZ"と呼ばれる認可プロトコルとは

おはようございます、ritouです。 今回はTransactional AuthorizationとしてIETFにDraftが提出されている仕様に注目します。 draft-richer-transactional-authz-02 - Transactional Authorization ⚠これはOAuth 2.0の特定の脆弱性を防いだりするために作られ…

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。 本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

SPAなClientがトークンを安全に扱えるかもしれない拡張仕様「OAuth2.0 DPoP」とは

おはようございます、ritou です。 今日は日頃の情報収集方法の一つである Mike Jones氏のブログ記事に書いてあったドラフト仕様のご紹介です。 self-issued.info The specification is still an early draft and undergoing active development, but I beli…

ファーストパーティーなアプリが使うOAuth/OIDCについてのお話 2019 春

夜分遅くに失礼いたします。ritouです。 こういう記事を読むとうずうずします。おそらく病気です。 terut.hatenablog.com 森羅万象を担当しているわけではないので、OAuth/OIDCが使えんのか?って観点から書いておきます。 ファーストパーティーのOAuth/OIDC…

OIDC Client Initiated Backchannel Authentication Flow (CIBA)とは - 概要編

ritouです。 今回ご紹介する仕様は、OpenID Connect の Client Initiated Backchannel Authentication Flow(CIBA) でございます。 openid.net OpenIDファウンデーションの MODRNA WG でただいま絶賛 Public Review 中の一品であります。 Public Review Perio…

OAuth 2.0 の Implicit grant 終了のお知らせ

おはようございます。 月曜です。 ritouです。 先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ 仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…

Authlete の OAuth 2.0 / OIDC 実装ナレッジ 完全に理解した

お疲れ様です。ritouです。 OAuth 2.0 / OIDC 実装の刺激が欲しくなったので(?)、Authlete 社が公開しているナレッジサイトの OIDC / OAuth 2.0 に関する部分を読むことにしました。 kb.authlete.com この記事は、OAuth 2.0 / OIDC を完全に理解した上で Aut…

FAPI : JWT Secured Authorization Response Mode for OAuth 2.0 (JARM) とは

ritou です。 みんな大好きJWT。今日もみんなで eyJ!ということで、今回はこちらの仕様について説明します。 openid.net 概要 This document defines a new JWT-based mode to encode authorization responses. Clients are enabled to request the transmis…

The Introduction of OAuth WRAP vol.2 : JavaScript Profile on FriendFeed

今回はJavaScript Profileの方の流れを見ていきます。 まだ仕様出てきてるわけでもないので、サンプルを参考にサンプルを作ってみると。 http://developers.facebook.com/news.php?blog=1&story=350 http://open.lukeshepard.com/oauth-wrap/console/ 今回も…

The Introduction of OAuth WRAP vol.1 : Web App Profile on FriendFeed

OAuth WRAPって知ってますか? http://developers.facebook.com/news.php?blog=1&story=350 http://bret.appspot.com/entry/oauth-wrap OAuth / OAuth WRAP Google グループ OAuth WRAP - Codin’ In The Free World まだ仕様を細かい部分まで読めてないのと…

OAuth for Mobile - Yahoo! JAPAN, Googleの実装 -

Yahoo! JAPANのOAuthがmobile対応していることをご存知でしょうか? Tech Blogに担当者のエントリが出ています。モバイル版OAuthの便利な活用方法 - Yahoo! JAPAN Tech BlogOAuthはブラウザでユーザーがConsumer Appに対して認可をすることで、Web/Clientを問…

PHPを読んだことある人のためのOAuthのSignature解説

今回はOAuthのお話です。 なんとなく、世の中に出回っているライブラリを使わず、OAuthの機能を独自で1から作りこむ人もけっこういるような気がします。 今回はPHPのOAuthライブラリを用いて、HMAC-SHA1のSignatureを作成するときのロジックを見てみます。…

gooホームのOAuth対応から今後のOpenSocial Gadgetを考える

■ gooホームのOAuthリクエスト実装 「goo Social Platform」にOAuthリクエスト機能を追加 - 「goo」の広報ブログ「gooの音」 gooホームガジェットからOAuthが利用できるようになりました! - gooホーム Developer's Recipe http://developer.home.goo.ne.jp/…

OpenSocial Signed Requestライブラリ(PHP)は便利ですよ!

http://devlog.agektmr.com/ja/archives/597 OpenSocialのSigned Requestは、ガジェットからの外部通信リクエストに署名を付けることで、パラメータの内容が改ざんされていないかを検証可能にする仕組みです。 一般に2-legged OAuthやSigned Request、OAuth …

【宿題】twitterのcallback URLのあたりについてはっきりさせたい!

■ 目的 何度となく調べているtwitterのOAuth仕様だが、callback URLのあたりがまだ曖昧 ( twitter,FriendFeedのOAuth実装について - r-weblife ) ■ 今回調べること BrowserAppのoauth_callbackによるふるまい ClientAppのoauth_callbackによるふるまい ■ Bro…

twitter OAuth利用時の文言調査+α

twitter周りでひとつネタふられました。 変なテンションなのでこのエントリは長編になります。Mobster WorldのスパムDMについて - tzmtkのブログ■ 宿題 「This application plans to use Twitter for logging you in in the future.」だけ異なるのは、 Twitt…

MobstarWorldのOAuth利用スパムについて

最近、エンジニアとして調子悪いので、他人のブログエントリから復帰のタイミングを探っていきます。 今日はまちゅさんのこのエントリに注目!!OAuthを悪用したTwitter DMスパムが登場 - まちゅダイアリー(2009-08-01)■ まず、言っておきたいこと この件は…

MySpaceのAPIを使ってみた。

■ 目的目的としては以下の3点で、取得できたデータを表示するだけのコードを書きました。 OpenID OAuth Extensionを利用する Portable Contacts APIを利用する Activity Streamsも取得する OpenID,OAuth,PortableContacts,OpenSocialの要素を含んで、なんかS…

【仕様紹介】Yahoo!のOAuthでUser Authorization URLにつけるRequest Tokenパラメータはオプションです

OAuthの処理で、End UserをSPにリダイレクトさせてリソースアクセスの認可をなんちゃらするときに、Request Tokenをパラメータとして追加するのが暗黙の了解になってます。 が、仕様 OAuth Core 1.0aで"6.1. Obtaining an Unauthorized Request Token"のあた…

OAuth on Yahoo! JAPAN

少し反響を見てみよう、と思ったけど反応少ない。http://blog.okanomail.com/2009/07/yahoo-japan-to-be-oauth-provider-oauth.html OpenID は普及したといっても今ひとつ盛り上がりに欠けていますが、 OpenID の欠点を補って開発された OAuth が普及すると…