サクサク読めて、
アプリ限定の機能も多数!
アプリで開く
こんばんは。ritouです。 Digital Identity技術勉強会 #iddance Advent Calendar 2020 1日めの記事です。 qiita.com 初日なのでゆるふわな話をしましょう。 何の話か もうだいぶ前ですね。9月のお話です。こんなTweetを見かけました。 社内Slackにいる「OAuth認証」と書くと訂正してくれるbotが丁寧な解説をするようになっていた 認証(Authentication)と認可(Authorization)は間違えやすいわりにミスると甚大な被害をもたらしがちなので、常日頃から意識を高めていきたいですね pic.twitter.com/oVQxBgZcHS—greenspa (@greenspa) 2020年9月28日 このbotに対する思うところはもう良いです。 今回は、「OAuthの仕様に沿ってID連携を実装するいわゆる"OAut
こんばんは、ritouです。 TLで13日の金曜だからJSONの・・・みたいなのを見つけたのでちょっと書きます。 って思ったらもう土曜日でしたorz JSON Web Signatureとは? draft-jones-json-web-signature-02 - JSON Web Signature (JWS) JWSは、HTTP Authorization HeaderやURIクエリパラメータなど制限がある環境でも使えるようなコンパクトな署名形式です。ってあります。 ざっくり説明すると、次の3つから構成されます。 JWS Header Input : 署名のためのアルゴリズムなどを含むJSONデータをBase64 URLエンコードしたもの JWS Payload Input : もともと署名つけたかったJSONデータをBase64 URLエンコードしたもの JWSCrypto Out
デバイスやブラウザでGoogle にログインしているユーザーは、アプリやサイトで迅速に認証されます。 リピーターは、自動的にログインすることも、ワンタップまたはワンクリックでログインする場合もあります。 ユーザーがワンタップまたはクリックで新しいアカウントを作成できるようにすることもできます。
フィードバックを送信 OAuth 2.0 を使用してGoogleAPI にアクセスする コレクションでコンテンツを整理 必要に応じて、コンテンツの保存と分類を行います。GoogleAPI では、認証および承認に OAuth 2.0 プロトコルを使用しています。Google は、ウェブサーバー上のアプリケーション、クライアント側のアプリケーション、インストール済みアプリケーション、入力制限のあるデバイスのアプリケーションなど、OAuth 2.0 の一般的なシナリオに対応しています。 まず、GoogleAPI Console から OAuth 2.0 クライアント認証情報を取得します。次に、クライアント アプリケーションがGoogle 認証サーバーにアクセス トークンをリクエストし、レスポンスからトークンを抽出して、アクセスするGoogleAPI にトークンを送信します。Go
AndroidからTwitterへアクセスするためのライブラリとして,Twitter4Jが有名です. これを使ってみようと,「AndroidTwitter4J」と検索すると 認証にWebViewを使った例がたくさん出てきます. ・・・いや,ちょっとまて. それはちょっとまずいだろう. そういうわけでもうちょっと賢い方法を探してみました. 何がまずいのさ 「AndroidTwitter4J」と検索すると,上位にこんなページが出てきます.Twitter4jを使ってOAuth認証をアプリ内で行う方法Twitter4j-2.2.xを使ったOAuth認証のコーディング例twitter4jでツイートするAndroid+Twitter4JでOAuthするためのソースコード 上のサイトでは次の様は方法をとっています. アプリ内にWebViewを貼り付け WebViewでTwitterの認証画面
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
Welcome to Federation Lab. Here you should be able to perform automated testing of software supporting SAML, OpenID Connect, OAuth and more. OpenID Connect Test Lab This beta edition includes support for automated testing of an OpenID Connect Provider. If you have comments or questions about this tool, contact Andreas Åkre Solberg andRoland Hedberg. Test an OpenID Connect Provider GÉANT, NorduNet
OpenID 2.0 は実装を容易にするために、ユースケースを「OpenIDプロバイダのID情報を用いた、RPへのログイン/属性提供」に限定した仕様となっている。その結果、以下のような要件を満たすことは、仕様の範囲内では容易ではない(図2)。 機能の制限された Web ブラウザへの対応 OpenID 2.0 では、ユーザ・エージェントとして一般的なWebブラウザを対象としており、ある程度大きなURL長を処理する能力や、リダイレクト機能などを有する必要がある。そのため、携帯端末などのように機能が制限された環境のWebブラウザでは、OpenID 2.0 プロトコルを処理できない場合がある。セキュリティ要件への対応 OpenID 2.0 プロトコルでは、Web サイト間でのID情報の要求(認証リクエスト)ならびにその提供(アサーション)は、Webブラウザのリダイレクト機能を用いて、平文のメッセ
OpenID Connect, ふたつのトークンの物語 「なぜ OpenID Connect にはトークンが二種類あるの?」という質問を、たびたびもらいます。そこにはいくつかの設計上の要件があり、わたしたちは仕様策定のなかで議論してきました。 1 - RP (リライング・パーティ) からの要件は、ログイン後のユーザー・インタフェースの簡便なカスタマイゼーションです。 そこでは、ユーザーへのレスポンスを一秒以下で行うことが求められました。つまり、ユーザー ID を取得するための、IdP へのさらなるラウンドトリップ (問い合わせ) は許されなかったのです。パスワードによる認証に加えて数秒の遅延が発生するようでは、実際に使うことはできないと、多くの RP が考えています。Facebook は署名つきリクエスト (signed request) を用いて、ユーザー ID をレスポンスに格納して返
In some of the feedback I havegotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro…英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
The user is presented with an element enticing them tologin. In thesimplest case, you can redirect the browser to a resource on the OpenID Connect provider. Popups are probably a tad better. The request should include parameters to approximate the permissions the application is requesting. These parameters are shown below. Parameter Name Value
なりすましは可能か——OpenIDとリプレイ攻撃 次にリプレイ攻撃(Replay Attack)について触れます。リプレイ攻撃とは簡単に説明すると、「パスワードや暗号鍵、あるいは認証済みのセッションデータなどを再利用してそのユーザーになりすます攻撃」といえます。OpenIDでもこのような攻撃が可能でしょうか?——答えは可能です。 id_resモードによってIdPからUserAgentを介してConsumerに渡される認証結果文字列を再度利用することによりConsumerサイトにおいてそのユーザーとして認可されてしまうでしょう。 これはちょっとしたConsumer側の対策で簡単に防ぐことができます。OpenIDの認証トランザクションが開始する際にConsumer側で独自のnonce(ハッシュを用いたなりすまし防止のためのランダムな文字列)をエンドユーザーに対して発行します。このnonceはユ
おはようございます、ritouです。GoogleがOpenID ConnectのEndpointを実装したと聞きました。Google's OpenIDConnect endpoint is now live in production, and we have a sample RP that shows the code required to useit at: http://oauthssodemo.appspot.com/step/1 We have sent the config details for our endpoint to a few developers/vendors to let them start integrating withit, though we are not trying to formally announceit's availa
こんばんは、ritouです。 7/8にmixiで行われたidcon #9でOpenID Connectの仕様を紹介させていただきました。 The Latest Specs of OpenID Connect at #idcon 9 私の力不足により、OpenID Connectを「よくわからん」「難しそうだ」と思われたかもしれませんので、ブログで少しずつリベンジしていこうかと思います。 idconではいくつかの機能を紹介しました。 今回は、"OpenID Connect HTTP Redirect Binding"の仕様に書かれている、"OAuth 2.0への追加実装"について整理します。 OpenID Connect HTTP Redirect Binding Specobsoleted by openid-connect-standard-1_0 "OpenID Connect HT
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
