こんばんはーです、ブログはやっぱり続かないなーって実感のくらです。 ここまで2回にわけてOAuth 2.0のAuthorization Code FlowとImplicit Flowの基礎をざっくりお話ししました。今回は「トークンの置き換え」についてお話ししたいと思います〜 トークンの置き換え攻撃って? みなさんが毎日つかっているiPhoneやAndroidのアプリですが、アプリの目的には不要な情報の収集、IDやパスワード抜き盗りなど悪質なアプリがおおくなってきているらしいです。それらの中にはOAuthを悪用してトークンを置き換えて攻撃するアプリもでてきてしまっているようです。悪意をもった開発者が悪いアプリで取得したユーザさんのトークンを悪意のないアプリのアクセストークンと置き換えて認証をいつわっちゃったりするんです。そんなコトされたらこまっちゃいますよね。では、その方法がどんなものなのか
OAuth 2.0 OAuth 2.0 is the industry-standard protocol for authorization. OAuth 2.0 focuses on client developer simplicity while providing specific authorization flows for web applications, desktop applications, mobile phones, and living room devices. This specification and its extensions are being developed within the IETF OAuth Working Group. OAuth 2.1 is an in-progress effort to consolidate OAut
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をしているサイトである伊
ritouです。 最近何度かパスキー関連の記事を書いていて、こんなコメントをいただくことが増えてきました。 ”もちろんパスキーでも詰んでしまうことはあり得るのですが” そこだよな ”パスキーでも詰んでしまうことはあり得る“話にならん、何言ってんだ?リカバリ方法のないそんなもん使おうと思う訳あらへん。 別件ではパスワード認証が詰まないと書かれているのも見かけましたので、一回整理しておきましょう。 「どんな認証方式でも、詰む」 パスワード、メールやSMS OTP、メールで送られるマジックリンク、認証用アプリ、TOTP、生体認証、パスキー...全ての認証方式で「詰む」状況というのはあり得ます。 知識情報 : 忘れる 所持情報 : デバイスや環境をなくす、一時的に利用できない 生体情報 : 関連する器官の欠損、怪我など もちろん、その頻度や条件が異なります。 FIDO認証からパスキーに変わった部分
OpenIDの最新仕様「OpenID Connect」とは 前回はOpenIDについて振り返りました。続く第4回では、OpenIDの最新仕様として策定が進められている「OpenID Connect」(注1)について、 設計思想 仕様一覧 フロー紹介 実装状況と今後 という軸に沿って紹介します。 OpenID Connectの3つの設計思想 OpenID Connectの設計思想として、次の3点があります。 簡単なことは簡単に 難しいことも可能に モジュラーデザイン 以下、その設計思想が仕様にどのように反映されているかを簡単に説明します。 簡単なことは簡単に OpenIDにおける最低限の要件とは、「OP(OpenID Provider)-RP(Relying Party)間で認証結果と属性情報(クレーム)の受け渡しができること」です。OpenID ConnectはOAuth 2.0をベースと
OAuth 2.0で Webサービスの利用方法はどう変わるか ソーシャルAPI活用に必須の“OAuth”の基礎知識 株式会社ビーコンIT 木村篤彦 2011/2/2 TwitterがOAuth 1.0を採用したのを皮切りに、今では多くのサービスがOAuth 1.0に対応しています。国内でも、例えば、マイクロブログ型コラボツール「youRoom」、小規模グループ向けグループウェア「サイボウズLive」、「はてな」のいくつかのサービス、「Yahoo!オークション」、リアルタイムドローツール「Cacoo」などがOAuth 1.0に対応したAPIを公開しています。 ここ数年でOAuthはさまざまなWebサービスのリソースを利用する際の認証方式として普及してきました。これは大きなプレーヤーがサポートしたことも一因ですが、OAuthの持つ以下の2つの特徴によって、「OAuthを使うと、サービスプロバイ
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く