OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。 English version: Diagrams And Movies Of All The OAuth 2.0 Flows 追記 (2019-07-02) 認可決定エンドポイントからクライアントに認可コードやアクセストークンを渡す方法については、別記事『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』で解説していますので、ご参照ください。 追記(2020-03-20) この記事の内容を含む、筆者本人による『OAuth & OIDC 入門編』解説動画を公開しました! 1. 認可コードフロー RF
OAuthがソーシャルログインで使われるようになった経緯
最近の僕の趣味は、stack overflowに来た質問に回答を付ける、ということです。特に本家英語版の方では、英語の読み取りと作文の練習をかねてやってます。もちろん、日本語版の方でも、回答できそうな質問が来たら、積極的に回答するようにしています。たまに間違えた回答付けてしまって-1をもらうこともありますが、それを含めての貢献かな、と。気にしない気にしない。 さて、日本語版の方でOAuthに関する以下の質問が来ていました。 OAuthはどのようにしてソーシャルログインとして使用されるようになったのでしょうか? 下記の記事をみるとOAuthはもともと外部からAPIを呼ぶためのものであり、ソーシャルログインとして使うのはHack的な使い方のような印象をうけました。 本来の目的が、ソーシャルログインのためでないならどのような経緯(どこどこのサービスで使われたのがきっかけというような歴史)でソーシ
よくわかる認証と認可 | DevelopersIO
よく訓練されたアップル信者、都元です。「認証 認可」でググると保育園の話が山程出て来ます。が、今日は保育園の話ではありません。そちらを期待した方はごめんなさい。こちらからお帰りください。 さて、先日のDevelopers.IO 2016において、マイクロWebアプリケーションというテーマでお話させて頂きました。一言で言うと OAuth 2.0 と OpenID Connect 1.0 のお話だったのですが、これらを理解するにあたっては「認証」と「認可」をはっきりと別のものとしてクッキリと認識する必要があります。 まず、ざっくりとした理解 認証と認可は密接に絡み合っている一方で全く別の概念です。正直、理解は簡単ではないと思います。 まず「認証」は英語では Authentication と言います。長いので略して AuthN と書いたりすることもあります。意味としては 通信の相手が誰(何)であ
セキュアで使いやすい認証UX標準化を目指すAccount Chooserプロジェクト
セキュアで使いやすい認証UX標準化を目指すAccount Chooserプロジェクト:デジタル・アイデンティティ技術最新動向(7)(1/3 ページ) 今回は、OpenID Foundationで実装および仕様策定が進められている「Account Chooser」というプロジェクトについて紹介します。 GoogleのOpenIDへの取り組みとAccount Chooser 前々回、前回と、2回に渡ってUDIDについて述べてきましたが、ここで再びOpenIDに関する話題に戻ります。今回は、OpenID Foundationで実装および仕様策定が進められている「Account Chooser」というプロジェクトについて紹介しようと思います。 Account Chooserは、OpenID Foundationの中で、特にGoogleが中心となって進めているプロジェクトです。プロジェクトそのものに
PHP で「Login with Facebook」を実装する基本的な方法まとめ
Facebook は Login with Facebook という機能を提供してくれてて 手元のウェブサービスに Facebook を使ってログインすることができますね。 日本語表示だと「Facebook でログイン」というやつ。 本家から便利なツールも提供されていて かなり簡単に使えるようになってるんだけど、 最初は少し戸惑うかもしれないので使い方をまとめておきます。 やり方もできることもいっぱいあると思いますが 簡単だと思われるやり方と、最も基本的な機能を中心に。 やりたいこと ウェブサービスのページ上にこういうボタンか 専用のボタンまたはリンクが表示されていて ユーザーがこれをクリックするといったん Facebook に飛び そこで承認ボタンを押したら元のページに帰ってきて その時点でウェブサービスがユーザーの ID や名前などを取得できるというの。 以下、手順です。 Facebo
結局、Twitter API 1.1で何が変わる? 5つのポイント
結局、Twitter API 1.1で何が変わる? 5つのポイント:Twitter APIと開発者規約変更のインパクトまとめ 変更による影響範囲や、一部APIの廃止、レートリミット方式の変更、アプリケーション当たりのユーザー数、ツイート表示方式の厳格化などを5つのポイントにまとめて解説 開発者のはしご外し? Twitter API狂騒曲 Twitterは2012年8月から9月にかけて開発者向けのブログで、APIや開発者規約の変更を立て続けにアナウンスしました。一部APIの廃止やレートリミット方式の変更、ツイート表示方式の厳格化など、影響は多岐にわたり、物議を醸しています。 Changes coming in Version 1.1 of the Twitter API Current status: API v1.1 Sunsetting @Anywhere Twitter、サードパーティ
RFCとなった「OAuth 2.0」――その要点は?
RFCとなった「OAuth 2.0」――その要点は?:デジタル・アイデンティティ技術最新動向(2)(1/2 ページ) いまWebの世界では、さまざまなWebサービスが提供するプラットフォームと、サー ドパーティが提供するアプリケーションがAPIを中心に結び付き、一種の「APIエコノミー」を形成しています。この連載では、そこで重要な役割を果たす「デジタル・アイデンティティ」について理解を深めていきます。 再び、デジタル・アイデンティティの世界へようこそ 前回「『OAuth』の基本動作を知る」ではOAuthの仕様がどういうものかについて説明しました。今回は引き続き、 OAuth 1.0とOAuth 2.0の違い OAuth 2.0をセキュアに使うために知っておくべきこと について述べていきます。 OAuth 1.0とOAuth 2.0の違い クライアントタイプの定義 OAuth 2.0では、O
「OAuth」の基本動作を知る
デジタル・アイデンティティの世界へようこそ はじめまして、OpenID Foundation JapanでエバンジェリストをしているNovです。 この連載では、僕を含めOpenID Foundation Japanにかかわるメンバーで、OpenID ConnectやOAuthなどの「デジタル・アイデンティティ(Digital Identity)」にかかわる技術について紹介していきます。 APIエコノミー時代のデジタル・アイデンティティ 世界中で9億人のユーザーを抱える「Facebook」や5億人のユーザーを持つ「Twitter」など、巨大なソーシャルグラフを持つサービスが、日々その存在感を増しています。日本でも、グリーやモバゲーなどがそれぞれソーシャルゲームプラットフォームを公開し、国内に一気に巨大なソーシャルゲーム市場を作り上げました。最近では、ユーザー数が5000万人を突破し、プラット
OpauthとtmhOAuthで極めてお手軽にTwitterと連携してみる - Mach3.laBlog
この記事は賞味期限切れです。(更新から1年が経過しています) PHPでTwitterのAPIを利用する方法は何度かPEARのServices_Twitterと絡めて記事にした事がありましたが、 今回はもっと手軽に導入できるOpauthとtmhOAuthを紹介してみます。 認証はOpauthで Opauth – Multi-provider authentication framework for PHP Opauthは、様々なOAuth認証を一手に引き受けてくれる認証フレームワークです。 執筆時に公式に紹介されていた利用可能なサービスは、Twitter・Facebookなどを含め11件。 これらのサービスへの認証機能は「ストラテジー」という形で外部モジュールとして提供されます。 所謂ストラテジーパターンと呼ばれる物ですね。 その使い方は、認証のみにフォーカスしているライブラリなだけあって恐
PHPではてなのOAuth対応APIを使うチュートリアルっぽいの - 三等兵
だいたいはTwitterと一緒だと思いますが細かい部分で違いがあるのでそれも含めてメモ。PHPの例がHatena Developer Centerになかったので、勉強したことをチョートリアルっぽくまとめ。 API利用までの流れ アプリケーション登録でconsumer keyとconsumer secret取得 Request tokenの取得とscopeの指定 認証用URL取得とリダイレクト ユーザから承認の許可を求める Access token取得 OAuth対応のAPIを使ってはてなといちゃいちゃする これでクリスマスははてなと一緒に楽しく過ごせますね! OAuth認証の準備 PHPではHTTP_OAuthっていうPEARのライブラリを使うと簡単。他のライブラリとも依存関係にあるのでそれも使います。 http://pear.php.net/package/HTTP_OAuth http
OAuth.phpだけで twitter APIする at softelメモ
問題 twitterのAPIを使うライブラリはいろいろあるけど、なるべくシンプルな装備でtwitterのAPIを使えないか。phpで。 解答例 OAuth.php(http://code.google.com/p/oauth/)だけを使ってやってみる。 OAuth1.0の仕様にある、署名の計算やエンコード、パラメータの並び替えなどのややこしそうな部分はOAuth.phpにお任せする。 それ以外を自分でやる。 oauth_*なパラメータもリクエスト本体に含める場合 <?php //依存するのはこれだけ require 'OAuth.php'; //OAuthのいつもの $consumer_key = '**********************'; $consumer_secret = '****************************************'; $oauth_t
非公開設定にしているTwitterアカウントのツイートを取得する | ブクマ!
Twitter でツイートを公開設定にしている場合、そのユーザのツイートを取得することは比較的簡単です。() ただ非公開設定にしている場合は同じ方法でツイートを取得することは出来ません。 非公開設定にしている場合、ユーザのツイートを取得するアプリケーションを作成して OAuth で認証した上で取得する、という手続きが必要になります。OAuth を使うということで一気にハードルが上がってしまうのですが、これらの作業の流れをわかりやすく説明してくれているサイトがあったのでご紹介します。 PHP+OAuthでTwitter – SDN Project この方法は bot などを作ったり、Twitter 上では表示したくないけど、自分のサイトなどでツイートを表示したいと言うような時に利用できます。Twitter クライアントなどを作るのはまた別の方法が必要なのでご注意下さい。 ちなみに上記サイ
PHPでTwitterのBotを作ってみた(1) | カニとモモンガと愉快なユウ
Twitter APIを勉強していたのですが、TwitterでBotを作りたくなって作ってみました。 自動投稿とリプライに反応するBotが出来ました。 所要時間は調整も入れて2〜3時間ほど。 簡単に説明も入れながら作り方をおさらいしときます。 追記:現在のTwitter APIの最新バージョンはv1.1です。 記事記載当時と多少異なっている部分がありますのでご注意ください。 気が向いたら最新版のやつ書きます! 僕の作ったbotはこちら→ @RTkawase_bot 為替情報をつぶやきます。リプライもします。 @yu_okini_Bot @yu29ozakiのお気に入りに追加したツイートをつぶやきます。 必要なファイル:TwitterOAuth.zip アップしておきましたので、ダウンロードして適当なファイルに解凍しておいてください。 まず、OAuthの基本から。 OAuthとはIDやパスワ
PHPでTwitter APIのOAuthを使う方法まとめ
この記事以降 Twitter API の仕様が変わっており、このままでは正しく機能しない場合があると思います。近いうちに今のやり方を書くので、それまで参考程度にご覧ください。 Twitter API の OAuth でひととおりやってみた。 忘れないようにメモ。 大雑把な流れ Twitter にアプリケーションを登録する。 Consumer Key と Consumer secret を取得する。 リクエストトークンを取得する。 認証用 URL を取得する。 ユーザーから承認を受ける(bot の場合は自分でやる)。 アクセストークンを取得する。 API にアクセスする。 以下、やった作業の手順です。 事前準備 HTTP_OAuth を使えるようにする OAuth の通信部分そのものは PEAR の HTTP_OAuth を使うことにしたので これをインストールする。 一番めんどくさい部分を
PHPでOAuthを使ったサンプルコード | きらら2号
PHPで作ったゲームサイトでOAuthを利用したので、使い方やサンプルをメモしておきます。 このページ(SDN Project)を参考(というかそのまま)にしていますので、こちらも見てみてください。 OAuthも以前書いたOpenIDと同様に仕組みそのものは難しいのですが、サンプルを見ながら自分なりに変えていけば、それほど難しくなかったりします。 大まかな手順は、以下の通りです。 ①Twitterにアプリケーション登録をする ②OAuthのPHPをダウンロードする ③自分でPHPを書く ④サーバにアップ Twitterにアプリ登録 まず、Twitterに自分のアカウントでログインTwitterのOAuth申請のサイトから、自分のアプリケーション名やサイトのアドレスを登録します。 ・Application Nameは、自分のサービスの名前です。ユーザは認証する際にこのアプリケーション名を確認
PHPで「Sign in with Twitter」を実装する方法
方法も何も、これさえできていれば PHPでTwitter APIのOAuthを使う方法まとめ – 頭ん中 一カ所書き換えるだけ。 事前の準備 アプリケーションを Sign in with Twitter に対応させときましょう。 https://twitter.com/apps に行く。 対象となるアプリケーションを選ぶ。(アプリケーション未登録の場合は上掲の記事に登録方法を書いているのでまずはそちらへ。) “Edit Application Settings” のボタンを押す。 一番下のあたりにある “Use Twitter for login” のところにチェックを入れて “Save” のボタンを押す。 はい完了。 Sign in with Twitter のやり方 OAuth でユーザーに承認してもらうとき、通常なら http://twitter.com/oauth/authoriz
非技術者のためのOAuth認証(?)とOpenIDの違い入門【2023年版】
昔から、「OpenIDは認証でOAuthは認可だ」などということが言われます。しかし、その言語の意味を取り違えている方が結構多い気がしています。「もうOpenIDなんていらね。OAuthだけでいいじゃん」というような言説がよく流れてくるのがその証拠だと思います。OAuth認証というのもその類ですね。 そこで、今日はOAuthとOpenIDの違いを考えてみたいと思います。 Youtube版 OpenIDは紹介状、OAuthは合鍵 まずはOpenIDの概要の復習です。「OpenIDは認証」という言葉の内容をまずは復習してみましょう。 「認証」とは大変広い言葉でいろいろな場面で使われますが、「OpenIDは認証」という使い方の時は、「OpenIDは、いま来ている人の身元を認証」(ユーザ認証)という意味です。図にすると図1のような流れになります。 この例では、有栖さんがお客としてサービス提供をして
単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる
In some of the feedback I have gotten on the openID Connect spec, the statement is made that Connect is too complicated. That OAuth 2.0 is all you need to do authentication. Many point to Identity Pro… 英語読みたくないという人のために簡単に解説すると… OAuth 2.0 の implicit flow を使って「認証」をしようとすると、とっても大きな穴が開きます。 カット&ペーストアタックが可能だからです。 OAuth 認証?は、図1のような流れになります。 図1 OAuth 認証?の流れ 一見、問題なさそうに見えます。しかし、それはすべてのサイトが「良いサイト」ならばです。 Site_A
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
WebアプリにSNSアカウントでのログインを実装する
http://webcake.no003.info/webdesign/php-twitteroauth-site-login.html
