I made a short video! What does #OAuth do? How it came to be and what problem it solves… explained in less than 90 seconds. https://youtube.com/shorts/m9JtcVe06vQ?si=u_bq6U-TFMU5kHpY

4 things to know and 4 things to do: AI takeover and oAuth security.
https://link.publicate.it/pub/56852262014d2a

Spent the past hour doing some updates to the Client ID Metadata Documents internet draft. Trying to find alignment with the Client ID Prefix internet draft and fix a few open issues. #ietf #oauth

Postman скрипт для обновления токена авторизации

Недавно по работе занимался тестирование очередного апи и столкнулся с таким неудобством, что все запросы требуют авторизации, а токен живёт всего 5 минут. Из-за этого приходилось постоянно делать запрос авторизации и обновлять токен вручную. В какой-то момент мне это надоело, и я задумался как это дело автоматизировать. Узнал, что можно написать Pre-request скрипт для коллекции в постмане, который будет выполняться перед каждым запросом, а уже в этом скрипте делать запрос токена авторизации. С какими сложностями мне пришлось столкнуться... Ну во первых пришлось немного полазить в доке постмана, но там только поверхностно описано, не смог найти как сделать запрос. Гуглёж вопросов других бедолаг мне тоже не особо помог, т.к. там были немного другие кейсы. Мне неожиданно помогла локально запущенная лама, которая мощно сходу дала мне хорошую подсказку, как сделать в скрипте постмана запрос с телом urlencoded и сохранить из него ответ в переменные. Чем я собственно и хотел поделиться. Итак исходное положение. Имеем некую коллекцию запросов в постмане и все креды для авторизации сохранённые в переменных. У нас есть запрос Auth, который получает токен авторизации.

https://habr.com/ru/articles/894528/

So it seems that there is no way to register a new app on developers.deezer.com?!
How am I supposed to automatically download my playlists now?
Any idea of what I am missing?

Blogged: ASP.NET Core delegated Microsoft OBO access token management (Entra only)

https://damienbod.com/2025/03/25/asp-net-core-delegated-microsoft-obo-access-token-management-entra-only/

browsing the specs of OAuth 2.1 and found that PKCE is now mandatory for Authorization Code Flow (not only Desktops or frontend-only apps!):
https://datatracker.ietf.org/doc/html/draft-ietf-oauth-v2-1-12

"The authorization code grant is extended with the functionality from PKCE [RFC7636] such that the default method of using the authorization code grant according to this specification requires the addition of the PKCE parameters"

Ever wondered, which OAuth flow to use? Sometimes there is a simple answer and sometimes you need to ask more questions to get the right answer. In this blog post of mine you find both.

https://curity.io/resources/learn/choose-oauth-flow/

I got #Duende IdentityServer #OAuth working inside an @avaloniaui app. It's pretty easy, thanks to the Duende.IdentityModel package and the browser abstraction. #dotnet

Fake "Security Alert" issues on #GitHub use #OAuth app to hijack accounts

https://www.bleepingcomputer.com/news/security/fake-security-alert-issues-on-github-use-oauth-app-to-hijack-accounts/

Cyberkriminelle nutzen aktuell gefälschte OAuth-Anwendungen, die sich als bekannte Dienste wie Adobe Acrobat, Adobe Drive oder DocuSign ausgeben. Ziel dieser Angriffe ist es, sich Zugriff auf Microsoft-365-Konten zu erschleichen. Im Beitrag erfährst du auch, wie du dich vor solchen Angriffen schützen kannst.

https://teufelswerk.net/achtung-vor-boesartigen-adobe-und-docusign-oauth-apps-so-schuetzt-du-dein-microsoft-365-konto/

Malicious #Adobe, #DocuSign #OAuth apps target #Microsoft365 accounts

https://www.bleepingcomputer.com/news/security/malicious-adobe-docusign-oauth-apps-target-microsoft-365-accounts/

Fake "Security Alert" issues on GitHub use OAuth app to hijack accounts

A widespread phishing campaign has targeted nearly 12,000 GitHub repositories with fake "Security Alert" issues, tricking developers into authorizing a malicious OAuth app that grants attackers full control over their accounts and code.

https://www.bleepingcomputer.com/news/security/fake-security-alert-issues-on-github-use-oauth-app-to-hijack-accounts/

#GitHub Alert hijack attack https://www.bleepingcomputer.com/news/security/fake-security-alert-issues-on-github-use-oauth-app-to-hijack-accounts/
#infosec #dev #webdev #oauth

How Cybercriminals Exploit OAuth Apps to Target Microsoft 365 Accounts

https://thedefendopsdiaries.com/how-cybercriminals-exploit-oauth-apps-to-target-microsoft-365-accounts/

#oauth
#microsoft365
#phishing
#cybersecurity
#infosec

I feel really excited about the publication of the book my colleagues and I have been working on during the last year. ⁣

𝐂𝐥𝐨𝐮𝐝 𝐍𝐚𝐭𝐢𝐯𝐞 𝐃𝐚𝐭𝐚 𝐒𝐞𝐜𝐮𝐫𝐢𝐭𝐲 𝐰𝐢𝐭𝐡 𝐎𝐀𝐮𝐭𝐡 is a practical book, published by O'Reilly media, that provides an API-first approach for OAuth including the synergies with cloud native platforms. It provides background information, arguments and examples for running and using OAuth to secure APIs in modern environments based on our experiences.⁣
⁣
Check out the digital version at⁣
https://www.oreilly.com/library/view/cloud-native-data/9781098164874/⁣
⁣
Paperback coming soon!

If you had to explain #OAuth2 to a relatively new SWE who only had a bit of experience interacting with public APIs from a frontend UI, are there any specific beginner-friendly online resources you'd recommend to them?

Mixing up Public and Private Keys in OpenID Connect deployments - Hanno's Blog:

https://blog.hboeck.de/archives/909-Mixing-up-Public-and-Private-Keys-in-OpenID-Connect-deployments.html