たけまる / Identity Conference #01

発表では，プログラムによるアクセスを許可するときの選択肢として
OAuth を挙げませんでした．この理由をうまく説明できてなかったので，
補足しておきます．

まずは簡単に発表のおさらいから．発表では，人が操作するブラウザでは
なく，クライアントプログラムによって API にアクセスするという状況を
考えています．ある Web サービスが，OpenID によるログインしかサポー
トしていないとします．すると，クライアントプログラムは OP ごとに異
なる認証をなんとかしてクリアしなければなりません．一般的には，Web
サービスは新たに Basic 認証や WSSE をサポートすることになり，API ユー
ザはパスワードを登録して API を使うことになるでしょう．

現実的にはこれで問題ないのですが，せっかくなので OpenID だけで済ま
せられないかと考えてみました．発表では，プログラムが OpenID でログ
インするための 2 つのアプローチを挙げました．(ここまでがスライドの
振り返り)

ところで，OAuth の場合，パスワードは不要ですが，代わりに "トークン"
を用意する必要があります．というわけで，"事前登録の手間" という観
点から見ると，パスワードを設定する Basic/WSSE/Digest よりラクになる
ということはないのかなと (しかも，期限が切れるたびに更新しなければ
ならない)．そういうこともあって，無意識のうちに除外していました．

とはいえ，現状では Basic/WSSE/Digest や OAuth が良い選択だと思いま
す．事前登録なしにプログラムにアクセスさせるということは，プログラ
ムが自律的にサービスを探索できるくらいに賢くなるということなので，
まだ先の話でしょう．こういうことは，Semantic Web の研究者が検討する
といいのかもしれないです (してるかもしれないけど)．