【Yahoo! ID連携】実装方法再確認のお願い
Yahoo! ID連携(Yahoo! ID連携 v1,v2)をご利用の皆様
いつもYahoo! ID連携をご利用いただきありがとうございます。
不正アクセス防止のために改めて実装方法のご確認をお願いいたします。
■Yahoo! ID連携を利用しサーバーサイドでユーザー認証を行う場合
下記のような実装方法をされている場合は実装のご変更をお願いいたします。
▼脆弱性のある実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで
ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、
第三者のユーザー識別子を送信することでそのユーザーとしてログインできてしまう可能性があります。
そのため、上記のような実装は推奨しておりません。
▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、
サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し
サーバーサイドでユーザー識別子などの属性情報を取得してください。
よろしくお願いいたします。
いつもYahoo! ID連携をご利用いただきありがとうございます。
不正アクセス防止のために改めて実装方法のご確認をお願いいたします。
■Yahoo! ID連携を利用しサーバーサイドでユーザー認証を行う場合
下記のような実装方法をされている場合は実装のご変更をお願いいたします。
▼脆弱性のある実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリで
ユーザー識別子(sub)を取得しサーバーサイドへ送信するような実装をしている場合、
第三者のユーザー識別子を送信することでそのユーザーとしてログインできてしまう可能性があります。
そのため、上記のような実装は推奨しておりません。
▼推奨する実装方法
フロントエンドのJavaScriptやiOS,Androidのネイティブアプリではユーザー識別子を直接取得するのではなく、
サーバーサイド・アプリケーションで利用されるフロー(Authorization Codeフロー)を用いて認可コードを連携し
サーバーサイドでユーザー識別子などの属性情報を取得してください。
よろしくお願いいたします。