HMAC-SHA1 is the suggested default signing algorithm for OAuth 1.0 Core. This is a code snippet showing how to calculate a valid OAuth HMAC-SHA1 signature using PHP4 without any PEAR dependencies.
OAuth Core 1.0 Revision A 日本語訳 はじめに OAuthはウェブサイトやクライアントアプリケーションなどのConsumerに対して、ユーザー自身のID・パスワードを渡すことなく、サService Providerの持つユーザー単位で保護されたリソースへアクセスする権限のみを譲渡することができます。OAuthは認証が必要なリソースへのAPI経由でアクセスする際の、自由度、利便性を提供します。 例として、1つの写真プリントサービス「printer.example.com」(Consumer)があり、あるユーザーが写真ストレージサービス「photos.example.net」(Service Provider)に保存している自分のプライベートな写真データ(リソース)をこの「printer.example.com」に渡したいとします。OAuthを使えば、ユーザーは「pri
最近、TwitterのDMスパムなどで話題のOAuthですが、仕事で使ってみて色々思うところもあるのでまとめておく。 OAuthは安全か まず、 OAuthでよく言われてるようにみえるパスワードをサービスに渡さないから安全ということに関して。簡単に言うと、「パスワード渡すよりは安全だけどまぁ信用していいかどうかの判断は必要だよね」ってところ。 OAuthは難しい話を抜きにしてしまえば、期限つきパスワード(Twitterは無期限っぽいですが)をサービスごとに発行するようなものだと思う。パスワードを渡した場合と違って、パスワードを書き換えられてログインできなくなるということはないが、APIで実行できることは基本的に出来るのでOAuthにもそれなりのリスクはある。 リスクと言ってもパスワードを第三者に渡すよりははるかに安全。先程述べたようにパスワードを書き換えられる心配もないし、仮に第三者のサ
MobsterWorldは、ユーザーはマフィアの1人となってお金を増やすゲーム。ほかのユーザーを敵として戦いを挑み、勝利すれば資金や経験値が得られる。ためた資金を使って武器を買い、攻撃力を高めたりできる。ゲームはTwitterのアカウントと連携しており、ゲーム上での行動がTwitter上でつぶやきとして発言される。 OAuthとは アカウントへのアクセス権を安全に渡せる仕組み Twitterはこの3月からOAuthを導入。ユーザーのアカウントのほぼすべての機能を、ID・パスワードを渡さずに、第三者のサービスから利用できるようにした。 アカウントへのアクセスを提供するだけなら、IDとパスワードを渡すだけでもいい。実際、TwitterのAPIを使ったサービスで、IDとパスワードを入力して利用するものは多い。 ただ、外部サービスにIDとパスワードを渡すとセキュリティ面で不安がある上、パスワードを
もう既に10.6万人ぐらいになっていました。 今後ともよろしくお願いいたしますm(__)m 10万人のユーザーが中心になってモバツイッター上で確認されてるツイッターユーザーの数が22万人。イメージとしては、ほとんどのユーザーが誰かと誰かのフォロワー関係の大多数を共有しているという構造で世間が狭いハズという認識でいたのですが、日本のツイッターユーザーは5月に77万人を超えているという話でしたので、まだまだ断片的な情報に過ぎないんでしょうね。ただ、もっと少ない時から、モバツイユーザー : 把握してるユーザー全体は、1:2ぐらいの比率だったから、ユーザーを40万人ぐらい抱えたら大多数の日本人ユーザーを把握できるんでしょう。 あと、いずれ対応を迫られると思ったので、さっきoAuthにも対応してみました。Peclのライブラリを使って、5hぐらいの対応時間でした。 oAuthは、あくまでも「PCからの
最近、エンジニアとして調子悪いので、他人のブログエントリから復帰のタイミングを探っていきます。 今日はまちゅさんのこのエントリに注目!! OAuthを悪用したTwitter DMスパムが登場 - まちゅダイアリー(2009-08-01) ■ まず、言っておきたいこと この件は、OAuthのセキュリティ脆弱性の件とは異なる twitterのUIが問題だと思っているので、これでOAuth使ってるとこ全体が悪者扱いされたら会社辞める ■ 整理 「自分のフォロワーにDM送信」する機能がtwitterのAPIで実装されている twitterはユーザーに対して、「MobsterWorld」に自分のアカウントに対して「access and update(←これがScope)」させてもいいか聞いてる ユーザーがallowしちゃうと、「access and update」の機能の一つであるDM送信の機能を「
指定されたURLは存在しません。 URLが正しく入力されていないか、このページが削除された可能性があります。
I have seen a lot of questions about OAuth and specifically how to do OAuth from PHP. We have a new pecl oauth extension written by John Jawed which does a really good job simplifying OAuth. I added Twitter support to Slowgeek.com the other day and it was extremely painless. The goal was to let users have a way to have Slowgeek send a tweet on their behalf when they have completed a Nike+ run. Her
Michael Wallner < mike at php dot net > (lead) [details] John Jawed < jawed at php dot net > (lead) [details] Felipe Pena < felipe at php dot net > (developer) [details] Rasmus Lerdorf < rasmus at php dot net > (lead) [details] Tjerk Meesters < datibbaw at php dot net > (developer) [details] Sean DuBois < sean at siobud dot com > (lead) [details]
このサイトのエントリーへコメント残す際に、Twitter及びFacebookのアカウントが利用できるようになりました。 記事の下にあるコメント欄に追加されたTwitterとFacebookのボタンを押してログインをします。 Twitterの場合は次のような画面が表示されるので、ユーザー名とパスワードを入力します。 ログインに成功すると、自分のTwitterのアイコンが表示され、コメントを残すことができます。 また、下にあるチェックボックスをオンにすると、コメントした内容がTwitterに自動的に投稿されます。 記事へのリンクが自動的に追加されるため、フォローしている人へも何についてのつぶやいたのかを伝えることができます。 ログイン状態は保存されるので、2度目からは入力が必要ありません。とても便利なので、Twitterユーザーの方は、ぜひこのエントリーでコメントを残すテストしてみてください。
Explaining the OAuth Session Fixation Attackという文章が興味深いものだったので翻訳してみた。何か解決策を思いついた人はOAuthのメーリングリストに送ってあげると良いと思う。って僕は参加してもいないのだけど。あと誤訳とかはコメントしてもらえれば対応します。ワタクシ実のところOAuthなんて使ったこともなかったりして。 (原文はリンク先にもある通り、Eran Hammer-Lahav氏からcc-by 3.0 usで提供されている。) 追記: 日本でもニュースになっていた: http://www.atmarkit.co.jp/news/200904/23/oauth.html 追記2: 元記事の画像がアップデートされていたので、追従して更新 以下翻訳: 先週、われわれが発見して対応したOAuthのプロトコルセキュリティ問題には語るべきことが多くある。
UPDATE ユーザーのログイン情報を利用する「補助キー」として機能するオープンソースプロトコル「OAuth」にセキュリティホールが発見され、「Twitter」や「Yahoo」などのサービスがOAuthのサポートを一時的に取りやめざるを得なくなったことが、米CNET Newsの調べでわかった。 Twitterが実装されたばかりのOAuthのサポートを取りやめたことに、一部の開発者は当惑していた。ブロガーのJesse Stay氏は自身のブログ記事で、Twitterの開発者向けアプリケーションプログラムインターフェース(API)に課された他のさまざまな制約について取り上げた上で、OAuthのサポート中止は、マイクロブログサービスのTwitterが最近になっていかに「開発者の足をすくって」きたかを示す数多くの事例の1つだと述べている。 CNET Newsでは、インターネットの安全性を守る見地から
文:David Meyer (ZDNet.co.uk) 翻訳校正:緒方亮、福岡洋一 2008-11-21 12:34 Googleは、ウェブにおいてプライバシーを制御しつつAPIアクセス権を委譲できるようにするオープンな標準OAuthを、同社のガジェットプラットフォームに採用した。 OAuthは、あるウェブサイトに自分の個人情報を置いている人が、データをほかのウェブサイトやガジェットと共有する権限をそのサイトに付与する仕組みを提供する。OAuthはこの共有を、最初のサイトが共有を受けるサイトにユーザーのIDを明かす必要性なしに実現できる。 Googleは6月、「Google Data API」のデータ共有にOAuthを採用することを発表した。そして米国時間11月18日、今度はOAuthを「Google Gadgets」で採用することを明らかにした。Google Gadgetsはデスクトップ
A growing number of APIs support OAuth, i.e. it is possible to give service A access to service B without giving B’s username/password to A. In this article I’m going to show you how to use OAuth-enabled APIs with CakePHP (and the OAuth consumer component I have written). First, there are some preparations necessary, namely the download of the required files: Get the OAuth component and place its
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く