[Claude Code의 OAuth 토큰, 외부 서비스·Agent SDK에서 사용하면 약관 위반
Anthropic은 Claude Code의 OAuth 토큰 사용 범위를 제한하는 법적 문서를 업데이트했습니다. Free, Pro, Max 플랜의 OAuth 토큰은 Claude Code와 Claude.ai 전용이며, 외부 서비스나 Agent SDK에서 사용하면 약관 위반에 해당합니다. API를 통한 자동화나 외부 연동이 필요한 경우 Claude API를 별도로 사용해야 합니다.
Vaibhav (VB) Srivastav (@reach_vb)
참고: Codex 기반으로 개발할 수 있고 ChatGPT OAuth를 통해 앱에 직접 임베드할 수 있다는 안내입니다. 또한 해당 기능(또는 코드)은 항상 오픈소스였다는 점을 강조하고 있어 개발자 통합과 오픈소스 접근성 측면에서 중요한 공지입니다.
[WordPress가 Claude와 연결됐다, 공식 연동으로 가능해진 것들
WordPress.com이 Anthropic의 Claude AI와 공식적으로 연동되어, 사용자가 자연어로 사이트 데이터를 조회하고 분석할 수 있게 되었습니다. 현재는 읽기 전용 권한만 제공되며, 향후 쓰기 권한이 추가될 예정입니다. 이 연동은 AI가 단순한 챗봇을 넘어 실제 운영 도구로 진화하는 중요한 사례입니다.
Friday, February 6, 2026
Day 397 — stepping deeper into authentication 🔐
• #Beyond365DaysOfCode Day 397
• #100DaysOfCode Day 397
📖 Daily Reading
✅ freeCodeCamp News — 1 article
✅ Daily.dev — 1 article
💻 Today’s Focus
• nhcarrigan Spring 2026 Cohort:
– Created Google OAuth Client ID
– Generated Client Secret
– Continued setting up authentication flow
#JavaScript #WebDevelopment
#OAuth #BackendDevelopment
#LearningInPublic #DevJourney
#Consistency
Blogged: Secure the swiyu container using a YARP proxy
https://damienbod.com/2026/02/09/isolate-the-swiyu-public-beta-management-apis-using-yarp/
#swiyu #yarp #aspire #aspnetcore #dotnet #identity #network #oauth #openidconnect #oidc
ConsentFix: OAuth-атака, которая работает слишком хорошо
ConsentFix - это атака, при которой пользователь сам передаёт злоумышленнику код авторизации OAuth. ConsentFix интересен тем, что это не эксплуатация бага и не 0day. Это UX-driven атака - атака на предположения модели безопасности OAuth о поведении пользователя. В сценариях с browser-based логином, localhost redirect и first-party приложениями пользователь внезапно оказывается частью trust boundary и может сам передать bearer token, не осознавая этого. В статье разбирается: • где именно в Authorization Code Flow возникает трещина, • почему MFA и PKCE здесь не помогают, • как выглядят такие атаки в реальности и в логах, • и почему browser-first и identity-first архитектуры делают подобные сценарии всё более массовыми.
Learn essential API design best practices for building scalable, secure, and maintainable interfaces using RESTful principles, OAuth 2.0, rate limiting, and OpenAPI documentation.
#REST #API #Security #OAuth 2.0 #Rate Limiting #OpenAPI
https://dasroot.net/posts/2026/01/api-design-best-practices-building/
Supabase X OAuth 2.0 eliminates complex signature requirements setup takes just 3 steps with callback URL configuration. AdwaitX explains why OAuth 2.0 beats legacy 1.0a with granular scopes and token security. Read the implementation guide #AdwaitX #Supabase #OAuth
https://www.adwaitx.com/supabase-x-twitter-oauth-2-provider-guide/
Enes Akar (@enesakar)
Anthropic 관련 팀에 대한 도움 요청으로, Claude Code의 OAuth 문제로 인해 Context7 사용자들이 자주 강제 로그아웃되고 반복 인증을 요구받는 버그를 보고함. 문제는 깃허브 이슈(tracking: claude-code/issues/7744)로 추적 중이며 여러 담당자에게 멘션해 대응을 촉구함.
Duende has released DPoP Support for #aspnetcore via the JwtBearer Extensions NuGet package. This library helps protect your APIs against one of the highest threats to the OAuth ecosystem: the abuse of stolen access tokens.
Learn more here: https://github.com/orgs/DuendeSoftware/discussions/479
"Keeping applications secure by evolving #OAuth 2.0 and OpenID Connect"
Thank you for having my talk at #FOSDEM at how use client policies in #Keycloak!
Slides are online, recorded video hopefully soon as well!
https://fosdem.org/2026/schedule/event/ZRDQYN-keep-applications-secure-by-evolving-oidc-oauth2/
Create Microsoft OAuth2 API 比 Google简单多了,Google在创建时还需要去丰富某些指标,否则会显示错误,但是Microsoft需要手动创建客户端密码——值——即Client Secret。
https://dev.to/codebangkok/how-to-create-microsoft-oauth2-api-38g1
Azure AD endpoints
Auth URL (授权地址): https://login.microsoftonline.com/common/oauth2/v2.0/authorize
Token URL (令牌地址): https://login.microsoftonline.com/common/oauth2/v2.0/token
如果使用Beszel的OAuth登录,建议关闭MFA
Google / Github 授权成功后,Beszel 检测到账号开启了 MFA,因此在后台要求输入验证码,OAuth 登录流程有时无法正确跳转到“输入验证码”的界面,导致黑屏。
将MFA关闭,其他保持开启,可以正常使用Github、Google、一次性密码、邮箱账户登录。
“多因素认证(MFA)要求用户使用任意两种不同的身份验证 在发放认证令牌之前,先处理方法(OTP、身份/密码、OUs2),功能仍属实验性,未来可能会有所调整。”
弄了下邮件发送服务,目前在用Webhosting(无限发送额度)和Resend(感觉Resend还算不错,有免费额度,每天100封邮件,每月3000封邮件)
还了解到了什么是warm up(当然我不会去做,有风险):
https://postmarkapp.com/guides/how-to-warm-up-a-domain
MXRouter都2026年了,活动也下架了,还挂着他的“BLACK FRIDAY 2025!”,点进去是显示售罄然后跳转到原价,“2025 Lifetime 15G Storage:15GB Domains:Unlimited Email Accounts:Unlimited... $1.00/yr”表面上是一年一美元,实际上有248美元的设置费。
在NetCup重新配置了Beszel,让他启用和发挥了更多功能,还有就是启用:OAuth:Github登录(需要到https://github.com/settings/applications/new 新增OAuth App)、OTP、MFA
只有关闭:Hide collection create and edit controls Collections/users右边才有设置按钮,才能配置OAuth、OTP、MFA
OTP、MFA需要配置SMTP,我试了Webhosting和Resend,都显示超时,才想到NetCup的邮件防火墙是默认开启的,关闭后测试成功
nc -zv smtp.resend.com 25 Connection to smtp.resend.com (54.205.195.44) 25 port [tcp/smtp] succeeded!
nc -zv smtp.resend.com 465 Connection to smtp.resend.com (54.205.195.44) 465 port [tcp/submissions] succeeded!
nc -zv smtp.resend.com 587 Connection to smtp.resend.com (54.157.71.137) 587 port [tcp/submission] succeeded!
YAML 配置可以导出定义的客户端配置,例如:
systems:
- name: ClawCloud Poping Japan/Tokyo
host: xx.xx.xx.xxx
port: 45876
token: xxx-xxx-xxx-xxx
users:
- XXX@outlook.com
然后添加了四个服务器,用于这几天迁移的参考,可以在https://gatus.feddit.social 查看迁移Status
Starting to wonder why I ever chose to look into #OAuth in any detail.
I don't think I've ever seen another protocol which attracts so many blowhards and reply guys.
Tip: When an RFC starts with a section labelled "1. Introduction", it's a good idea to read that section, to get some idea of how it fits into the ecosystem.
Ứng dụng yêu cầu quyền đọc‑ghi toàn bộ repo công khai và riêng tư, cùng quyền quản lý tổ chức, dự án, webhook… Liệu việc yêu cầu quá nhiều quyền truy cập trong OAuth có an toàn? Hãy cân nhắc chỉ yêu cầu tối thiểu cần thiết để bảo vệ dữ liệu người dùng. #GitHub #OAuth #Security #BảoMật #PhátTriển #Developer
https://www.reddit.com/r/SaaS/comments/1qn0jlq/is_it_ok_to_ask_so_many_acces_for_auth_in_your_app/
