home.social

#pkce — Public Fediverse posts

Live and recent posts from across the Fediverse tagged #pkce, aggregated by home.social.

  1. #Hollo 0.6.0 is coming soon!

    We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

    Enhanced #OAuth #security

    • RFC 8414 (OAuth metadata discovery)
    • RFC 7636 (#PKCE support)
    • Improved authorization flows following RFC 9700 best practices

    New features

    • Extended character limit (4K → 10K)
    • Code syntax highlighting
    • Customizable profile themes
    • EXIF metadata stripping for privacy

    Important notes for update

    • Node.js 24+ required
    • Updated environment variables for asset storage
    • Stronger SECRET_KEY requirements (44+ chars)

    Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

    Full changelog and upgrade guide coming with the release.

    #ActivityPub

  2. #Hollo 0.6.0 is coming soon!

    We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

    Enhanced #OAuth #security

    • RFC 8414 (OAuth metadata discovery)
    • RFC 7636 (#PKCE support)
    • Improved authorization flows following RFC 9700 best practices

    New features

    • Extended character limit (4K → 10K)
    • Code syntax highlighting
    • Customizable profile themes
    • EXIF metadata stripping for privacy

    Important notes for update

    • Node.js 24+ required
    • Updated environment variables for asset storage
    • Stronger SECRET_KEY requirements (44+ chars)

    Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

    Full changelog and upgrade guide coming with the release.

    #ActivityPub

  3. #Hollo 0.6.0 is coming soon!

    We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

    Enhanced #OAuth #security

    • RFC 8414 (OAuth metadata discovery)
    • RFC 7636 (#PKCE support)
    • Improved authorization flows following RFC 9700 best practices

    New features

    • Extended character limit (4K → 10K)
    • Code syntax highlighting
    • Customizable profile themes
    • EXIF metadata stripping for privacy

    Important notes for update

    • Node.js 24+ required
    • Updated environment variables for asset storage
    • Stronger SECRET_KEY requirements (44+ chars)

    Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

    Full changelog and upgrade guide coming with the release.

    #ActivityPub

  4. #Hollo 0.6.0 is coming soon!

    We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

    Enhanced #OAuth #security

    • RFC 8414 (OAuth metadata discovery)
    • RFC 7636 (#PKCE support)
    • Improved authorization flows following RFC 9700 best practices

    New features

    • Extended character limit (4K → 10K)
    • Code syntax highlighting
    • Customizable profile themes
    • EXIF metadata stripping for privacy

    Important notes for update

    • Node.js 24+ required
    • Updated environment variables for asset storage
    • Stronger SECRET_KEY requirements (44+ chars)

    Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

    Full changelog and upgrade guide coming with the release.

    #ActivityPub

  5. #Hollo 0.6.0 is coming soon!

    We're putting the finishing touches on our biggest security and feature update yet. Here's what's coming:

    Enhanced #OAuth #security

    • RFC 8414 (OAuth metadata discovery)
    • RFC 7636 (#PKCE support)
    • Improved authorization flows following RFC 9700 best practices

    New features

    • Extended character limit (4K → 10K)
    • Code syntax highlighting
    • Customizable profile themes
    • EXIF metadata stripping for privacy

    Important notes for update

    • Node.js 24+ required
    • Updated environment variables for asset storage
    • Stronger SECRET_KEY requirements (44+ chars)

    Special thanks to @thisismissem for the extensive OAuth improvements that help keep the #fediverse secure and compatible! 🙏

    Full changelog and upgrade guide coming with the release.

    #ActivityPub

  6. Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

    В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

    habr.com/ru/articles/880544/

    #аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly

  7. Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

    В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

    habr.com/ru/articles/880544/

    #аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly

  8. Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

    В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

    habr.com/ru/articles/880544/

    #аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly

  9. Атаки через новый OAuth flow, authorization code injection, и помогут ли HttpOnly, PKCE и BFF

    В статье детально рассмотрим интересный вектор атаки на приложения, использующие OAuth/OIDC, разберем, какие предусловия для этого нужны, и увидим, что они не так недостижимы, как может показаться на первый взгляд. Затронем использование паттерна Backend-for-Frontend и способы реализации PKCE для confidential clients, попутно проверив, помогают ли они защититься от рассматриваемой атаки. Взглянем и на другие существующие рекомендации и предлагаемые лучшие практики, а также подумаем над прочими мерами защиты, которые действительно могут помочь. Все это с примерами, схемами и даже видео. Материал будет интересен как для занимающихся разработкой приложений, так и для представляющих атакующую сторону.

    habr.com/ru/articles/880544/

    #аутентификация #authentication #pkce #backendforfrontend #bff #authorization_code_injection #confidential_clients #токен #session_id #httponly

  10. New release of my #python #django #oauth #oidc #foss library pypi.org/project/django-oauth2 🔑

    Main changes are:
    - Do not send the client secret, even if defined, with #PKCE by default ⚙️
    - Fix for mysql InnoDB users 🩹
    - A fix for usage with Azure Entra public app 🩹
    - Allow to logout even when using the Django ModelBackend 🩹

    Thanks a lot to contributors 👍

    Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

  11. New release of my #python #django #oauth #oidc #foss library pypi.org/project/django-oauth2 🔑

    Main changes are:
    - Do not send the client secret, even if defined, with #PKCE by default ⚙️
    - Fix for mysql InnoDB users 🩹
    - A fix for usage with Azure Entra public app 🩹
    - Allow to logout even when using the Django ModelBackend 🩹

    Thanks a lot to contributors 👍

    Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

  12. New release of my #python #django #oauth #oidc #foss library pypi.org/project/django-oauth2 🔑

    Main changes are:
    - Do not send the client secret, even if defined, with #PKCE by default ⚙️
    - Fix for mysql InnoDB users 🩹
    - A fix for usage with Azure Entra public app 🩹
    - Allow to logout even when using the Django ModelBackend 🩹

    Thanks a lot to contributors 👍

    Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

  13. New release of my #python #django #oauth #oidc #foss library pypi.org/project/django-oauth2 🔑

    Main changes are:
    - Do not send the client secret, even if defined, with #PKCE by default ⚙️
    - Fix for mysql InnoDB users 🩹
    - A fix for usage with Azure Entra public app 🩹
    - Allow to logout even when using the Django ModelBackend 🩹

    Thanks a lot to contributors 👍

    Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

  14. New release of my #python #django #oauth #oidc #foss library pypi.org/project/django-oauth2 🔑

    Main changes are:
    - Do not send the client secret, even if defined, with #PKCE by default ⚙️
    - Fix for mysql InnoDB users 🩹
    - A fix for usage with Azure Entra public app 🩹
    - Allow to logout even when using the Django ModelBackend 🩹

    Thanks a lot to contributors 👍

    Feel free to contribute 😻 , using gitlab main repo, or github mirror repo.

  15. [Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC

    Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .

    habr.com/ru/articles/796511/

    #SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam

  16. [Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC

    Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .

    habr.com/ru/articles/796511/

    #SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam

  17. [Перевод] Аутентификация в SPA приложении через OpenAM используя OAuth2/OIDC

    Данная статья будет полезна разработчикам браузерных (SPA) приложений, которые хотят настроить аутентификацию пользователей. Для аутентификации будет использоваться OAuth2/OIDC протокол c PKCE . В качестве сервера аутентификации будет использоваться сервер управления аутентификации с открытым исходным кодом OpenAM .

    habr.com/ru/articles/796511/

    #SSO #Аутентификация #oauth2 #oidc #spa #react #pkce #openam

  18. #manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.

    message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho

    closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?

    github.com/mastodon/mastodon/i

    blah blah #mit #opensource
    src.developing-today.com/Masto
    github.com/developing-today/Ma

    🐘🐘🐘

  19. #manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.

    message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho

    closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?

    github.com/mastodon/mastodon/i

    blah blah #mit #opensource
    src.developing-today.com/Masto
    github.com/developing-today/Ma

    🐘🐘🐘

  20. is very frustrating, and i've only just got it mostly working in . i think minor changes for needed.

    message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho

    closing gap w , apps are easy in but also their implementation is kinda strange. no but i guess it doesn't matter?

    github.com/mastodon/mastodon/i

    blah blah
    src.developing-today.com/Masto
    github.com/developing-today/Ma

    🐘🐘🐘

  21. #manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.

    message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho

    closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?

    github.com/mastodon/mastodon/i

    blah blah #mit #opensource
    src.developing-today.com/Masto
    github.com/developing-today/Ma

    🐘🐘🐘

  22. #manifestV3 is very frustrating, and i've only just got it mostly working in #chrome. i think minor changes for #firefox needed.

    message passing with callbacks from background service worker to content scripts is.. rough dev experience. fast tho

    closing gap w #twitter, #oauth apps are easy in #mastodont but also their implementation is kinda strange. no #pkce but i guess it doesn't matter?

    github.com/mastodon/mastodon/i

    blah blah #mit #opensource
    src.developing-today.com/Masto
    github.com/developing-today/Ma

    🐘🐘🐘

  23. Browser APIs have gotten so much better lately! Way easier to do @oauth_2 PKCE in a browser now:

    ✅ good random number generators
    ✅ secure hashing functions

    Just missing a good base64 encoding function. (Check out the ugly hack in the post.)

    https://developer.okta.com/blog/2019/05/01/is-the-oauth-implicit-flow-dead#begin-the-pkce-request