OpenID Connectにおける認証情報の送付 これまでの記事で、OAuth2.0やOpenID Connectでいかに安全にユーザの認可や認証を実現するかを少しずつ見ていきました。 これまではどちらかというと、認証リクエストやcodeのやり取りを途中で傍受された場合のケース…

codeの受け渡しをどう守るか？ 以前Oauth2.0のstateについて書いていた際にも思いましたが、フローを見ているとアクセストークンの受け渡し、もっと言うとプラスしてcodeの受け渡し部分は非常にセンシティブな箇所です。アクセストークンがあればリソースを…

前回、前々回とOAuth2.0、OpenID Connectのセキュリティに関して簡単にまとめましたが、やっぱり実際にどう実装されているのかをこの目で確かめたくなってきますよね。 ybns.hateblo.jp ybns.hateblo.jp ということで、今回はダメダメなアプリ開発者と執念深…