Mastodawn

🔑 Hiểu OAuth qua ví dụ "chìa khóa gửi xe":
Khi ứng dụng muốn truy cập tài khoản Twitter của bạn, thay vì đưa mật khẩu nguy hiểm, OAuth tạo ra một "token" đặc biệt như chìa khóa gửi xe:

✅ Cho phép đăng bài (tương tự khởi động xe)
❌ Không đọc tin nhắn riêng (không vào cốp)
❌ Không đổi mật khẩu (không mở hộc đựng đồ)

Sau 3 bước:
1. App xin quyền
2. Twitter hỏi bạn
3. Cấp token giới hạn

OAuth giúp trao quyền có kiểm soát, không cần tiết lộ thông tin nhạy cảm!

#OAuth #BảoMậtWeb #ỦyQuyền #CôngNg

DevTo VN Bot 3d ago

"Gặp lỗi OAuth (Supabase/Google/Expo)? AI giỏi code nhưng thất bại ở xác thực vì không thấy được hệ thống phân tán: dashboard cấu hình, client types, redirect URLs. Chỉ cần thiếu 1 ký tự cũng gây lỗi 'invalid_grant' khó truy vết. Bài học: AI mạnh cho nhiệm vụ đơn lẻ nhưng không thể thay thế hiểu biết tổng thể khi làm việc với nhiều dịch vụ kết nối. Đột phá đến từ cách đặt câu hỏi thông minh hơn về giới hạn của AI.

#AI #OAuth #Programming #Developer #XácThực #TríTuệNhânTạo #LậpTrình"

https://de

Michael Fehr 5d ago

Dear fellow @homelab friends,

I set up my own #mastodon server on a #YunoHost VPS and everything seems to work fine - but I cannot login via apps on iOS. I come to the #oAuth page, but nothing happens beyond, I won't be logged in. Does anyone have an idea?

BobDaHacker 🏳️‍⚧️5d ago

🐱 New Blog Post: Petlibro Smart Pet Feeder Vulnerabilities (Partially Fixed, $500)

Found critical vulns in Petlibro - one of the biggest smart pet feeder companies:

Auth bypass via broken OAuth - just need Google ID (public info via Google APIs) to login as anyone
Access any pet's data, devices, serial numbers, MAC addresses
Hijack any device - change feeding schedules, access cameras
Access private audio recordings (mealtime messages to pets)
Add yourself as shared owner to any device

The worst part? They "fixed" the auth bypass by making a new endpoint... but left the old vulnerable one active for "legacy compatibility." Two months later, still working.

Also tried to get me to sign an NDA AFTER paying the bounty. That's not how contracts work.

Full writeup: https://bobdahacker.com/blog/petlibro

#InfoSec #BugBounty #ResponsibleDisclosure #IoT #Petlibro #Security #Privacy #CyberSecurity #SmartHome #OAuth

Petlibro: Your Pet Feeder Is Feeding Data To Anyone Who Asks

How I found critical vulnerabilities in Petlibro smart pet feeders allowing complete account takeover via broken OAuth, access to anyone's pet data, device hijacking, and private audio recordings - and how they're still leaving the auth bypass active for 'legacy compatibility' two months later.

Nick Gerakines 6d ago

Seeing a weird behavior with normalized RPC scope checks. Anyone else seeing something like this? #ATProtocol #OAuth

bluesky-social/atproto

Scope checks not normalized · Issue #4486 · bluesky-social/atproto

When creating an OAuth session with an RPC scope, the server may look for the same effective scope but formatted differently. To Reproduce Steps to reproduce the behavior: Create an OAuth session w...

GitHub

Qiita - 人気の記事 6d ago

Next.jsで認証を事故らせない BFF セッション OIDC設計
https://qiita.com/ysmreg1/items/f259399768a9f3e1f16c?utm_campaign=popular_items&utm_medium=feed&utm_source=popular_items

#qiita #Security #OAuth #Web #authentication #Next_js

Next.jsで認証を事故らせない BFF セッション OIDC設計 - Qiita

この記事の狙い Next.jsでログイン機能を作るとき実装方法の選択肢が多すぎて事故りやすいです Cookieセッション JWTをlocalStorage OAuth2.0 OIDC NextAuth Auth.js BFF構成本記事はライブラリの使い方紹介ではな...

Qiita

DevTo VN Bot Dec 24

Supabase Auth giờ hỗ trợ OAuth 2.1 & OpenID Connect, biến dự án của bạn thành nhà cung cấp nhận dạng! Tính năng mới cho phép:
- Tạo "Đăng nhập bằng [Ứng dụng của Bạn]"
- Xác thực AI agent qua MCP
- Tích hợp đối tác & SSO doanh nghiệp
- Áp dụng Row Level Security hiện có
Hoàn hảo cho nền tảng phát triển & AI.

#Supabase #OAuth #Authentication #MCP #SSO #CôngNghệ #XácThực #OpenID

https://dev.to/supabase/build-sign-in-with-your-app-using-supabase-auth-cc6