"
OAuth は Authorization Delegation Protocol = 認可をデリゲーションするためのプロトコルであって、ユーザ認証のためのプロトコルではないからです[5]。はっきり言って、楽ちんだからといって、それを単体で認証の代わりに使っている方が悪い。
実は、Facebook もこのことは気づいていて、signed_request というAPIを持っています。これはほとんど OpenID Connect と同じです[2]。Facebook でログインするためには、こちらを使わなければいけないのです。scope=signed_request ってやるんですよ。でも、使っている人、どれくらい居ますか?やってます?ほとんどは、access token を取得するための client side flow (Facebook のデフォルト) を認証の代わりにつかっちゃってますよね?!
"— 単なる OAuth 2.0 を認証に使うと、車が通れるほどのどでかいセキュリティー・ホールができる : .Nat Zone
-
kzgwss reblogged this from rngsw
-
rngsw reblogged this from ishibashi
-
pobmahw liked this
-
hinekurenon reblogged this from mmqqbb
-
sivamuramai liked this
-
sivamuramai reblogged this from mmqqbb
-
mmqqbb reblogged this from e-note
-
e-note reblogged this from ishibashi
-
chkk525 reblogged this from ishibashi
-
rngsw liked this
-
ishibashi posted this
