先日 JWT & JWS 翻訳プロジェクトスタート & イベント紹介 でお伝えした JWT & JWS 翻訳プロジェクトですが、無事翻訳をリリースできました。
OpenID TechNight Vol.10 ではこれらの仕様の概要説明も行いましたので、そこでのスライドもここに挙げておきます。 (なぜかいま現在僕の環境ではこちら404 Not Foundになってしまいますが…)
引き続き JSON Web Encryption (JWE) および OAuth2 JWT Bearer Token Profile も翻訳予定です。(スケジュール未定) 翻訳にご協力いただける方は、@nov まで :)
エンプラ、よく分かりません。
エンプラグレード、逆に不安です。
と、まぁそんな内輪ネタはさておき、最近はエンプラで OAuth 2.0 使う事例も増えてるようです。
Google Apps とか導入してたら、OAuth 2.0 とか G+ Sign-in (= OpenID Connect) も使うでしょうし、そんな時にエンプラだと特定のアプリにだけ特定の API へのアクセスを許可したい、なんてこともあるんでしょう。
で、今日それっぽい事例をちょっと見かけたので、response_type=code ってなってるとこを response_type=token に書き換えてやったんですが…
しっかり access_token 取れて、自分で書いたスクリプトからも API アクセスできましたよ!
特定アプリに限定したつもりでも、別に自分のアカウントと紐づいた access_token 取るだけなら client_secret いらなかったりするのは、当然っちゃ当然なのですが、これがエンプラの世界では許容されるのかされないのかがよく分かんないです。
もし許容されないのだとしたら、特定のアプリに限定するってなら response_typ=code に限定するとかもしないとダメなんでしょうねぇ。
と、Octopress に移行して断然ブログ書きやすくなったので、つらつら書いてみました。
Read on →先週から, JWxファミリーの以下の3つの仕様書の翻訳を始めています.
翻訳資料の公開は OpenID TechNight Vol.10 のある 9/4 に予定してます. OpenID TechNight Vol.10 では僕から簡単にこれら各仕様の概要についてもご紹介しますので, 興味ある方はぜひご参加を.
また JWx 翻訳プロジェクト GitHub レポジトリにはこの他にも JSON Web Encryption や JWT Bearer といった関連仕様も含まれていて, これらも同様に翻訳予定です. これらの翻訳公開時期はまだ未定ですが, 9/20 の ID & IT 2013 に合わせて公開できればなと考えています. こちらのカンファレンスもエンタープライズ業界で Identity に携わっている人には必見です!
要するに, 9月がアツイ!
どうもTumblrをブログとして使うの辛いので、Octopressに移行します。
またURL変わっちゃうのは…直せそうではあるけどちとメンドイ…
先日以下のような記事を書きました。
Login with Amazonを使うと、あなたのサイトのユーザーがアカウントハイジャックされる。
Login with Amazon 危険ですよ!という記事だったのですが、その後 Login with Amazon のドキュメントに、Token Info API が追加されました。
こちらの Step4 Obtain Profile Information のサンプルコードで、Profile API を叩く前に Token 発行先の Client ID が自身の Client ID と一致することを確認する処理が追加されています。
Web - Login with Amazon Developer Center
こちらのより詳細なドキュメントには、Security Considerations の “Impersonating a Resource Owner in Implicit Flow” という節で、Token Info API を使わない場合の攻撃例が述べられています。
Login with Amazon - Developer Guide for Websites (PDF)
というわけで、Login with Amazon、ドキュメント通り実装すれば安全です :)