タグ付けされた質問 「oauth」

OAuth(Open Authorization)は、クライアントアプリケーションがユーザーに代わって保護されたリソースにアクセスするための仕様です。ログイン資格情報をサードパーティのアプリケーションに渡すユーザーの代わりとして開発されました。

7
複数のユーザーアカウントをマージするためのアーキテクチャ
さて、私はあなたがあなた自身を登録してログインできるウェブサイトを手に入れました。Facebook、Twitter、Linkedinアカウントでログインすることもできます。 ユーザーは1つのアカウントのみを登録することが重要です。どういうわけか、ユーザーが異なる方法でログインする場合は、ユーザーのアカウントをマージしたいと思います。これを解決する最善の解決策は何ですか? たとえば、ユーザーは自分のFacebookアカウントでログインします。このデータを使用して、彼のアカウントを自動的に登録します。私たちのウェブサイトのユーザー名とパスワードをメールで送るべきですか?(これがFacebookのポリシーで問題ない場合)。ユーザー名とパスワードを入力できる2番目の画面を表示する必要がありますか?しかし、それはあなたのFacebookアカウントでログインする背後にある考えではありません。参加するための手続きが簡単になります。 また、ユーザーが当社のWebサイトに自分自身を登録し、次に彼のTwitterアカウントでログインすることもできます。これらの2つのアカウントを1つにマージするにはどうすればよいですか?最良の方法は何ですか? だから基本的に私の質問は:ユーザーが私たちのウェブサイトのメンバーになる4つの異なる方法を得た。ユーザーが複数の方法を使用する場合、これらの4つの方法すべてが1つのアカウントのみを作成するようにするにはどうすればよいですか?ユーザー自身が面倒にならないようにするための最善のフローは何ですか? 編集: 私がこの質問をした3年後、一連の記事で自分自身で答えを出しています:https : //www.peternijssen.nl/social-network-authentication-setup/ https://www.peternijssen.nl/social- network-authentication-google / https://www.peternijssen.nl/social-network-authentication-merging-accounts/ https://www.peternijssen.nl/social-network-authentication-twitter-facebook/


3
正確にはOAuth 2.0ベアラートークンとは何ですか?
よるRFC6750 -The OAuth 2.0の承認フレームワーク:ベアラトークンの使用、ベアラトークンであります: トークンを所持するすべての当事者(「所有者」)が、トークンを所持する他の当事者が使用できる方法でトークンを使用できるという特性を持つセキュリティトークン。 私にとって、この定義は曖昧で、仕様を見つけることができません。 承認プロバイダーを実装しているとしましょう。無記名トークンに任意の文字列を指定できますか? ランダムな文字列にすることはできますか? 一部の属性のbase64エンコードである必要がありますか? ハッシュ化する必要がありますか? また、サービスプロバイダーは、このトークンを検証するために承認プロバイダーにクエリを実行する必要がありますか? ポインタをありがとうございます。

9
OAuth承認コードと暗黙的なワークフローの違いは何ですか?それぞれをいつ使用するのですか?
OAuth 2.0には複数のワークフローがあります。2つについていくつか質問があります。 承認コードフロー -ユーザーがクライアントアプリからログインすると、承認サーバーが承認コードをアプリに返します。次に、アプリは認証コードをアクセストークンと交換します。 暗黙的な付与フロー -ユーザーはクライアントアプリからログインし、承認サーバーはクライアントアプリに直接アクセストークンを発行します。 セキュリティの点で2つのアプローチの違いは何ですか?どちらがより安全で、なぜですか? サーバーがアクセストークンを直接発行できるときに、1つのワークフローに追加の手順(トークンの認証コードの交換)が追加される理由がわかりません。 クライアントアプリが資格情報を安全に保つことができる場合、承認コードフローが使用されると、さまざまなWebサイトが述べています。どうして?
165 oauth  oauth-2.0 

7
OAuth:ローカルURLでテストする方法は?
私はOAuthボタンをテストしようとしていますが、すべて(Facebook、Twitter、LinkedIn)は、ローカル URL からはテストまたは使用できないことを示すエラーを返します。 彼らはすべての必要とするように見える場合はどのように人々はOAuthのものと開発に通常作業を行う非DEVと非ローカル接続環境を?
154 oauth  localhost 


2
(DotNetOpenAuthを使用して)サードパーティのOAuthプロバイダーによる認証を許可しながら、OAuthでREST APIを保護する
製品のユーザーがWebユーザーインターフェイスを使用せずに製品の機能と直接統合できるように、単純なREST APIを備えた製品があります。 最近、さまざまなサードパーティから、デスクトップクライアントとAPIを統合して、私の製品のユーザーがそのサードパーティのアプリケーションを使用してデータにアクセスできるようにすることに関心を示しています。 Twitterを使用したいアプリケーションは、Twitterがホストするログインページを使用して認証を行い、そのユーザーのデータにアクセスするための特定のアプリケーション権限を付与します。「許可」または「拒否」ボタンをクリックすると、認証プロセスが完了します。Facebookは私が言うことができる最高のメカニズムを使用しています。 さらなる調査の結果、これは実際のOAuthのようであり、私のAPIは.Netベースであるため、DotNetOpenAuthを使用して同様のメカニズムを提供する必要があると考えています。残念ながら、サンプルはまばらに文書化されており(もしあれば)、オンラインで見つけることができる唯一のチュートリアルは、サードパーティのプロバイダーを使用してユーザーがWebサイトにログインできるように、ユーザーにログインメカニズムを提供するのに役立つことに集中しているようです。 私が本当にやりたいことは、REST APIでWebアプリケーションのすべてのコア認証とビジネスロジックを処理し、内部的には、OAuthを介してAPIを使用するだけのアプリケーションです。ユーザーは、ユーザー名とパスワードを直接使用するか、MyOpenIDやFacebookなどのサードパーティプロバイダーを介してWebサイトで認証し、Webサイトは返されたトークンを使用してREST APIに対して認証を行います。 基本的に、OAuthサービスをホストするためにAPIが必要であるように見えますが、ユーザーにサードパーティのOAuthサービスを使用させる必要もあります。どうしようもないのですが、OAuthを十分に理解していないので、複雑すぎたり、やろうとしていることが良い方法か悪い方法かを判断できません。 誰かが、少なくとも私が実行する必要のある手順の概要、またはこれを実現するために何を見る必要があるかを教えてもらえますか?または、いくつかのチュートリアルを教えてください。または私の提案を爆破し、私はこれについて(アーキテクチャ的に)すべて間違っていると言っていますか?

14
モバイルアプリのOAuthシークレット
OAuthプロトコルを使用する場合は、委任先のサービスから取得した秘密の文字列が必要です。これをWebアプリで実行している場合、シークレットをデータベースまたはファイルシステムに格納できますが、モバイルアプリ(またはその点ではデスクトップアプリ)でシークレットを処理するための最良の方法は何ですか? 文字列をアプリに保存することは、誰かが簡単に見つけて悪用する可能性があるため、明らかに良いことではありません。 別のアプローチは、それをサーバーに保存し、アプリを実行するたびにフェッチし、電話に保存しないことです。アプリにURLを含める必要があるため、これはほぼ同じです。 私が思いつくことができる唯一の実行可能な解決策は、最初に通常どおりにアクセストークンを取得し(できればアプリ内のWebビューを使用して)、次にすべての通信をサーバー経由でルーティングすることです。これにより、要求データにシークレットが追加されて通信しますプロバイダーと。繰り返しになりますが、私はセキュリティの初心者なので、これについて知識のある人々の意見を本当に聞きたいです。ほとんどのアプリは、セキュリティを保証するためにこれらの長さにしようとしているようには見えません(たとえば、Facebook Connectは、アプリ内の文字列にシークレットを挿入すると想定しているようです)。 もう1つ、秘密が最初にアクセストークンを要求することに関係しているとは思わないので、それは私たち自身のサーバーを関与させることなく実行できます。私は正しいですか?

9
Google認証APIアクセストークンを確認するにはどうすればよいですか?
Google認証アクセストークンを確認するにはどうすればよいですか? どういうわけかGoogleにクエリを実行して質問する必要があります:[与えられたアクセストークン]は[example@example.com] Googleアカウントに対して有効ですか? 短いバージョン:Google認証API を介して提供されるアクセストークンがどのように使用できるかは明らかです。特定のアクセストークンが特定のGoogleアカウントに対して有効かどうかを確認する方法は明確ではありません。方法を教えてください。 長いバージョン: トークンベースの認証を使用するAPIを開発しています。トークンは、有効なユーザー名とパスワードを提供するか、N個の検証可能なサービスのいずれかからサードパーティのトークンを提供すると返されます。 サードパーティのサービスの1つはGoogleで、ユーザーは自分のGoogleアカウントを使用して自分のサービスに対して認証を受けることができます。これは後で拡張され、Yahooアカウント、信頼できるOpenIDプロバイダーなどが含まれるようになります。 Googleベースのアクセスの概略図: 代替テキストhttp://webignition.net/images/figures/auth_figure002.png 「API」エンティティは私の完全な管理下にあります。「公開インターフェース」エンティティは、ウェブベースまたはデスクトップベースのアプリです。一部のパブリックインターフェイスは私の制御下にあり、他のインターフェイスはそうではなく、他のインターフェイスはまだ私が知ることすらありません。 そのため、ステップ3でAPIに提供されたトークンを信頼できません。これは、対応するGoogleアカウントのメールアドレスとともに提供されます。 どういうわけかGoogleにクエリを実行して質問する必要があります:このアクセストークンはexample@example.comに対して有効ですか? この場合、example @ example.comはGoogleアカウントの一意の識別子、つまり誰かが自分のGoogleアカウントにログインするために使用するメールアドレスです。これはGmailアドレスであるとは限りません。誰かがGmailアカウントを持っていなくてもGoogleアカウントを持つことができます。 Googleのドキュメントには、アクセストークンを使用して、さまざまなGoogleサービスからデータを取得する方法が明記されています。そもそも、特定のアクセストークンが有効かどうかを確認する方法については何も述べられていないようです。 更新 トークンはN個のGoogleサービスで有効です。特定のユーザーが実際に使用しているすべてのGoogleサービスのサブセットがわからないため、トークンを検証する手段としてGoogleサービスに対してトークンを試すことはできません。 さらに、Googleの認証アクセストークンを使用してGoogleサービスにアクセスすることは決してありません。Googleの想定ユーザーが実際に本人であることを確認する手段としてのみです。これを行う別の方法がある場合、私は試すことができてうれしいです。


5
Androidにアクセストークンとシークレットを安全に保存する方法は?
Googleからメールと連絡先を取得するためにoAuthを使用します。ユーザーに毎回ログインしてアクセストークンとシークレットを取得するように要求したくありません。私が理解したことから、私はそれらを私のアプリケーションと一緒にデータベースまたはに保存する必要がありますSharedPreferences。しかし、私はそれでセキュリティ面について少し心配しています。トークンの暗号化と復号化は可能ですが、攻撃者がAPKとクラスを逆コンパイルして暗号化キーを取得するのは簡単です。 これらのトークンをAndroidに安全に保存するための最良の方法は何ですか?

14
Facebookログインメッセージ:「URLがブロックされました:リダイレクトURIがアプリのクライアントOAuth設定でホワイトリストに登録されていないため、このリダイレクトは失敗しました。」
重要なお知らせ: テストに登録する場合は、プロファイル設定に移動し、興味のあるプロファイルに削除プロファイルを追加します。 Facebookで自分のウェブサイトにログインしようとしています: 次のエラーが発生します。 ブロックされたURL:リダイレクトURIがアプリのクライアントOAuth設定でホワイトリストに登録されていないため、このリダイレクトは失敗しました。クライアントとWeb OAuthログインがオンになっていることを確認し、すべてのアプリドメインを有効なOAuthリダイレクトURIとして追加します。 settingsFacebookでの私の(基本)は次のとおりです。 アプリドメイン:openstrategynetwork.com サイトのURL website:http : //openstrategynetwork.com/ 詳細タブで、Valid OAuth redirect URIsは次のように設定されています。 http://openstrategynetwork.com/_oauth/facebook?close アプリはpublicです。 ここでの詳細設定(詳細): アプリのキーとシークレットが正しい。Meteorとそのアカウントパッケージを使用しています。


3
ページのFacebookアクセストークン
私はそれから何かを得たいFacebookページを持っています。最初のものはフィードであり、私が読んだものからはパブリックです(access_tokenは必要ありません)。しかし、私はイベントも取得したいのですが...それらはパブリックではなく、access_tokenが必要です。 ユーザーにFacebookなどにログインしてほしくありません。この唯一のページからすべてのデータをプッシュしたいだけです。ここで見つけた多くの例とhttps://developers.facebook.com/blog/post/500/にある例をすでに破棄しているのはそのためです。彼らはユーザーにログインを求めているか、私が興味を持たないユーザーアクションを要求しているからです。 私が欲しいのは、私のFacebookアプリケーションに、私が所有しているこの1つのFacebookページ(管理者)からデータをプッシュするための完全な承認とaccess_tokenがあることです。これは可能ですか?私はすでに多くのことを試しましたが、何もうまくいかないようです。 私はこの時にクリックを試してみました:https://www.facebook.com/dialog/oauth?client_id=150635421702954&redirect_uri=http://MY_URL/&scope=manage_pages&response_type=token&fields=access_token -自分のサイトのにMY_URLを変更し、それがすべての編集に承認を要請します私が所有するページ。私がクリックしたいものではなくても、見返りにaccess_tokenがありませんでした...

17
Twitter oAuth callbackUrl-ローカルホスト開発
Twitters oAuthのコールバックURLを取得してlocalhost開発環境にアクセスするのに苦労している人はいますか?どうやら最近無効になっているようです。http://code.google.com/p/twitter-api/issues/detail?id=534#c1 誰かが回避策を持っていますか?開発を止めたくない
112 twitter  oauth 

弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.