OAuth 2.0/OpenID Connectで使われるBindingの仕組みについて整理する

OAuth OIDC state nonce PKCE Security

おはようございます、OAuth警察を装っている ritou です。 qiita.com 認証認可技術 Advent Calendar 2019 2日目の記事です。今日もやっていきましょう。 (2020/3/9追記)本投稿の内容をさらにわかりやすく整理された本を @authyasan さんが書かれています。 …

2019-07-08

OAuth 2.0 / OpenID Connectにおけるstate, nonce, PKCEの限界を意識する

OAuth OIDC Security PKCE nonce state

おはようございます、ritouです。ちなみに予約投稿なのでまだ寝てます。本日のテーマはこちらです。 OAuth/OIDCのstate,nonce,PKCE使ってもClient/RPがしょーもなかった場合のServer/OP側の限界についてのブログ書いてる。— 秋田の猫 (@ritou) July 6, 2019…

2018-11-12

OAuth 2.0 の Implicit grant 終了のお知らせ

OAuth Implicit PKCE CORS

おはようございます。月曜です。 ritouです。先週、こんな記事出てました。 Why you should stop using the OAuth implicit grant! もう Implicit grant 使ってくれるなよ仕様策定中の OAuth 2.0 Security Best Current Practice(今はDraft9) で使用しな…