-
Notifications
You must be signed in to change notification settings - Fork 0
Idcon mini 3 theme
Ryo Ito edited this page May 13, 2014
·
1 revision
OAuth(OpenID Connect) + Covert Redirectの件でモヤモヤしている部分を全てはっきりさせましょう。
- Implicit で access_tokenとられるって話(さらっと)
- Authorization Code使う場合のリスクと対策(細かい話)
- Native App + Back-End Serverなややこしげなケースのリスクと対策(細かすぎて伝わらない話)
それぞれで、次の3点を理解して帰りましょう。
- 攻撃者がやりたいことと、それを許す可能性がある実装
- 対策のためのServer側の独自拡張
- 対策のためのClient側はこうしておけ
普通にやったら誰かの解説だけでモヤっとしたまま終わります。それなりに工夫が必要です。
- 誰かがネタを最初から公開しておく
- 事前にブログ記事読んで来い or この資料見れぐらいでも良い
- 参加者はそれを見てモヤモヤしておく
- Twitterとかに書いておくと誰かが拾う
- とりあえず来て0から理解しようとするとそれだけで終わると思う
- 会場では質疑応答をおおめにする
- 終わんなかったら誰かの宿題に...
@nov先生のOAuth.jpの記事を載せておきます。
- Implicit Flow では Covert Redirect で Token 漏れるね
- OAuth 2.0 の Code は漏れても大丈夫ってホント!?
- Covert Redirect で Query 漏れるケースもある!?
OpenID 2.0はまぁ、いいだろ。