画像出典: 書籍...記事中に掲載した販売ページ / Webサイト...スクリーンショット はじめに こんにちは。株式会社Flatt Securityの @toyojuni です。 突然ですが、弊社Flatt Securityは「開発者に寄り添ったセキュリティ」を標榜しています。Webアプリケーションなどに脆弱性がないか調査する 「セキュリティ診断」 においても、セキュアコーディング学習プラットフォーム 「KENRO」 においても、いかに開発者フレンドリーなサービスを提供できるかという点を大事にしています。 そんな弊社はお客様からさまざまな開発におけるセキュリティのアドバイスを求められることも多いのですが、その中で「開発に役に立つセキュリティ」という切り口では、なかなかまとまっているリファレンス集がないという課題に気付かされました。 そこで、社内でアンケートを実施して「開発者にオススメのセ
2020年になりすっかりなりを潜めていますが、DigitalIdentityに関する技術の勉強会である #iddance のアドカレやります。 参加条件は自由です。いわゆる認証認可と関連する技術、OAuth、OpenID Connect、FIDO、WebAuthn、DID、SSI、eyJ(JWT)、そしてSAMLとかに興味のある人、一緒に何か書きましょう!プロトコルや仕様に縛られずいろいろな話題が集まることを期待しています。 「書いてみたいけどお前やあの人の突っ込みが怖いんだわ」って時は事前のレビューもできますのでTwitterなどでご相談ください。 申し込んだけど穴空きそう!助けて!ってときもritouがなんとかしますので安心して参加してみてください。
はじめに 弊社で開発しているiOSアプリTABLESでは、Instagramに登録されているユーザ情報を用いてログインする機能を実装しました。Instagramに登録されているユーザ情報を取得するためには、Instagram APIを用いる必要がありましたが、InstagramはAPIを使うためのiOS用のSDKが配布されていなかったため、WebViewを用いて地道に実装しました。 InstagramのユーザID取得の流れ 以下の手順に沿ってInstagramのユーザIDを取得します 1. Authorization APIで認可コードを発行する 2. ユーザが承認した場合、リダイレクト先に認可コードが返ってくる 3. 認可コードをもとに、ユーザ情報を取得するAPIを叩く 4. ユーザ情報のJSONからユーザIDを取得する ユーザIDを取得するためには2の認可コードを必ず取得する必要があり
最近、LaravelでInstagram APIを使うことがあったのでメモ。 Instagram APIではユーザーの投稿したメディアを取得することができるのだが、一度のリクエストで最大20件までしか取得することができない。 そのため20件以上のメディアを取得したい場合は、ページングして取得するプログラムを自分で組まなくてはいけなかった。 それをやってみた。 (追記) 今回の記事はInstagramでOAuth認証が前提となるので、先にOAuth認証をやってから、実践してみてください! 参考記事→LaravelでInstagramログインをやってみた 環境 PHP5.6 Laravel5.2 叩くURL https://api.instagram.com/v1/users/[取得するInstagrammerのID]/media/recent/ 付与できるパラメータ ACCESS_TOKEN
システム開発をする以上、ほとんどの場合「認証と認可」は切っても切れない問題です。マイクロサービスが話題を集め、コンポーネントのWeb API化が急加速を見せる昨今。OAuth 2.0 という仕組みが継続的に注目を集めています。 しかし、いざその仕様を紐解いてみると Authorization code や Implicit 等、簡単には理解できない概念や選択肢が並んでおり、 自分が導入すべきなのはどのような仕組みなのか、判断が難しいのも確かです。 本セッションでは OAuth 2.0 の仕組みを基礎から解説し、今あなたに必要な認証と認可の仕組みを判断できるような知識をお伝えします。 https://www.youtube.com/watch?v=PqW948SFSUMRead less
Deleted articles cannot be recovered. Draft of this article would be also deleted. Are you sure you want to delete this article? はじめに 過去三年間、技術者ではない方々に OAuth(オーオース)の説明を繰り返してきました※1,※2。その結果、OAuth をかなり分かりやすく説明することができるようになりました。この記事では、その説明手順をご紹介します。 ※1:Authlete 社の創業者として資金調達のため投資家巡りをしていました(TechCrunch Japan:『APIエコノミー立ち上がりのカギ、OAuth技術のAUTHLETEが500 Startups Japanらから1.4億円を調達』)。Authlete アカウント登録はこちら! ※2:そして2回目の
ソーシャル連携っていつもどう実装するか悩むところですが、Laravel には Socialite というとても簡単に実装できるライブラリがあるのです。 デフォのままでも Facebook, Twitter などかなりの数のプラットフォームに対応していて、しかもネット上に山程落ちているので困ることがありません。 しかしながら日本のサービスはなかなか見つからない。ということで こちらの記事 をほぼまるパクリして LINE のソーシャルログインを実装しました。 一言でどうやるのかと言うと、プロバイダクラスを自作で作り、登録して使えるようにするだけです。 OAuth2 のプラットフォームの実装方法 コードや構成は zaburo 氏のコピペです。 <?php namespace App\Socialite; use Laravel\Socialite\SocialiteManager; class
PHPカンファレンス 2014の講演募集が行われています。 私自身は、PHPには詳しくなくてもPHPの開発に関しての領域に一過言ある方ならば、講演という場を通じて発表していただければなぁと思っています。しかしながら、何が需要があるかどうか分からなく躊躇ってる方もいるのではと思っています。そこで、私が聞きたいトピックについて、最近のPHP界隈での動向も交え、挙げてみたいと思います。 ** SSLSSLの概要 or 最近のPHPでのSSL周りでのbug fixについての解説 理由 OpenSSL周りについては、Daniel Lowrey氏の尽力もありここ一年でもっともインパクトのある改善の一つです。 ref. ・PHP 5.6.x における OpenSSL 関連の変更 ・History for ext/openssl - php/php-src ・PHP: rfc:tls-peer-verif
最近、FuelPHPで実装しまくっています。 今回は、FuelPHPでFacebookのOAuth認証を実装してみます。 Opauthというライブラリがあり、これを使えば簡単に実装できます。 OpauthはGitHubで公開されており、そこに使い方が記載されているので、基本的にはそれに従うだけです。 Opauthをインストール まずはじめに、FuelPHPのpackagesフォルダにOpauthをインストールします。 cd your_fuel_app/fuel/packages/ git clone git://github.com/andreoav/fuel-opauth.git opauth opauthの設定をする 次に、opauthの設定をします。 今回はFacebookと繋げるので、取得したFacebookのAPP_IDとAPP_SECRETを書きます。 ログイン画面のパス
omnauth-yahoojpとは railsとか各種ID(facebook, twitter, mixi, Googleなどなど)の認証機能を追加してくれるomniauthのYConnect(Yahoo! JAPAN)版を突貫で作ってみました(テストとか適当)。Github で公開しています。 omniauth-yahoojp - Github ベースはomnioauth-oauth2で、Strategyという形でYConnectの機能を追加し、YConnectを最低限に利用できるようにしています。 git clone してもらい、gem build & gem install すれば利用できますが、自分でもだんだん面倒くさくなってきたのもあって、勢いで rubygems にもあげてます。 omniauth-yahoojp(0.1.0) - rubygems.org gem instal
重要なお知らせ 現在、Yahoo! ID連携がご利用できなくなった申告を多くいただいています。 こちらをご確認いただき、状況のご確認をお願いします。 Yahoo! ID連携がご利用いただけない場合について 提供しているバージョン Yahoo! ID連携 v1の提供は終了しました。 Yahoo! ID連携を利用される場合は、Yahoo! ID連携 v2をご確認ください。 現行バージョン Yahoo! ID連携 v2 旧バージョン Yahoo! ID連携 v1 ※提供を終了しました Yahoo! ID連携 v2になって変わった点 開発コスト削減 数行のJavaScriptを記述していただくだけで属性取得が可能となり、開発工数が大幅に削減されるJavaScript SDKを提供しています。 スマホアプリサポートの充実 アプリおよびバックエンドのサーバーまで認証を連携するHybridフローをサポー
PHPフレームワークにTwitter,Facebook等の認証を速攻実装できる「Opauth」 2012年05月24日- Opauth ? Multi-provider authentication framework for PHP PHPフレームワークにTwitter,Facebook等の認証を速攻実装できる「Opauth」。 Zend、CakePHP、Symfony、CodeIgniter等のフレームワークに認証を入れる場合に是非参考にしたいライブラリ。 Facebook, Google, twitter, Linked.in の他、OAuth、OpenID などにも対応。Yahoo!JapanでOAuth等による認証ができますから、これで認証にまつわる処理はすべて実装できそう。 各サイトにおける認証の方法を都度実装するのは非効率ということで、こうしたライブラリで認証処理はサクっと終
具体的には、友人の性別・血液型・年齢・趣味などの人数比率を一覧表示して、「自分の身の回りには、どんな人が多いのか(少ないのか)」という情報を簡単に確認できるサービスです。 今回は初級エンジニア向けに、できるだけ細かい説明を入れながら解説していきたいと思いますので、どうぞ最後までお付き合いください! OAuth 2.0と処理の流れについて 「mixi Graph API」では、ユーザー認証にOAuth 2.0を利用します。OAuth 2.0の仕組みについては、以下の記事が分かりやすいので、初めて触るという方はぜひ目を通しておいてください。 なお、今回作成するサービスでは、クライアント側(HTML/JavaScript/jQuery)とサーバ側(PHP)で、それぞれ下記のような処理を行います。 【クライアント側】mixiでAuthorization Codeを取得するためのリンクを生成 【クラ
@自宅(個人の見解に基づいており,所属組織などとは一切関係ありませんし,事実かどうかもわかりません) この世界に希望をもつためには批判し続けることこそが必要だ - Edward W. Said (1935-2003) なにやら2010年6月頃に従来使われていたBASIC認証でのAPIコールができなくなるらしく,OAuthまたはxAuthへの対応が必要となっております.ぶっちゃけ,作っているのはbotなので,OAuthのような仰々しい実装(ぇ)は必要ないので,簡易的なxAuthを用いようと考えました.なお,OAuth対応を行うと60分に350回(将来的には1500回)のAPIコールができるようになるらしい.これはかなり自由度が増します.というわけで,今回はxAuthに対応する話を書いておきます.例によって,実装はPHPです. 参考にしたのはこちら.というか,そのまんまです.OAuth/xAu
PHP 80行で作るTwitterへRSSを投稿するbotの以下の改良版です。OAuth投稿対応bit.lyを使ったURLの短縮化それと、ちょっと、コードが短くなっただけです。OAuthの登録についてはオリジナルtwitter投稿ツールの作成のOAuthによる投稿までを参考にしてください。bit.lyのAPIについてはbit.lyのAPIを参考にしてください。 define('API_KEY_BIT_LY' , '**************************'); // bitlyのAPIキー define('API_LOGIN_BIT_LY' , '**************************'); // bitlyのログインアカウント名 define('CHECK_RSS_COUNT', 5); // 投稿するRSSのチェックする数 require("twitteroa
Twitter等で使われているOAuthをCakePHPで使うライブラリを紹介します。 OAuth consumers for CakePHP - by cakebaker 導入方法 OAuth consumer classをダウンロード CakePHPのルートディレクトリか、appディレクトリで展開する(それぞれ「vendors/OAuth」か「app/vendors/OAuth」に展開される) 使い方 Twitterを例にして説明します。Twitter以外のサービスを利用する場合も基本的には同じです。 大まかな流れは次の様になります。 ・事前準備 Webサービスの立ち上げ前に、Twitterからconsumer keyとconsumer secretをあらかじめ取得しておく ・認証とAPI利用の流れ Twitterからリクエストトークンを取得 Twitterの認証ページへリダイレクト
指定されたURLは存在しません。 URLが正しく入力されていないか、このページが削除された可能性があります。
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く