たけまる / oauth

_ 僕が OpenSocial や OpenID, OAuth を無視できない理由 [opensocial][openid][oauth]

machu さんを皮切りに，shinichitomita さんや kazuhooku さんがとても
面白い議論を繰り広げてます．

クロスドメインのセキュリティ問題を OAuth で解決する - まちゅダイアリー (2007-12-07)
Re: クロスドメインのセキュリティ問題を OAuth で解決する - id:kazuhookuのメモ置き場
クロスドメイン通信とアクセスコントロール - snippets from shinichitomita’s journal

ちょっと切り口を変えて，「この議論がどうして重要なのか，どうして革
新的なのか」ということを考えてみます．うまく説明できるかわかんない
けど，挑戦してみようかなと．

イノベーションってのは，それまでうまく使えなかったリソースを活用で
きるようになったときに起こる．蒸気であれ，電気であれ，資本であれ．

先に結論を言うと，OpenSocial や OpenID, OAuth (クロスドメイン関連の
技術) は，今はうまく使えていないリソースを活用して，イノベーション
を起こす可能性を持っているってこと．

# 似たようなこと書いてるページがありましたら教えてくださいませ m(_ _)m

《続きを読む》

_ OAuth - リソースへのアクセスを代行するプロトコル [oauth][openid]

[2007-09-23-1] で AtomPub の認証について書いたからというわけではな
いのですが，OAuth というプロトコルの仕様を斜め読みしたのでメモして
おきます．間違いがあったら教えていただけると嬉しいです m(_ _)m

(追記) OAuth の「背景」みたいのについては，miyagawa さんからもらっ
たコメントと，まちゅさんのエントリが参考になります．
- miyagawa さん

oAuthはFlickr,GoogleAuthSub,Y!BBAuth,AOL openAuth,TypeKeyなんかの
統合プロトコルという位置づけ。例では401->WWW-Authenitcateが
handshake になってるけど実際はもっと他の方法で運用されるんじゃない
かなぁ

- まちゅさん
WebAPI のアクセス制御に使える OAuth という仕様 - まちゅダイアリー (2007-09-25)

さて，OAuth は，第三者に対して，認証を要求するリソースへのアクセス
を一時的に許可するためのプロトコルです．

たとえば，写真印刷サービスがあるとします．そして，あなたは flickr
に保存してある非公開写真の印刷を依頼しようとしています．このとき，
写真を "公開" 状態にすることなく，また flickr へのログイン情報を教
えることもなく，印刷を依頼することができます．

OpenID が "authentication (認証) の分散" だとすると，OAuth は
authorization (許可) になります．

(参考) 仕様から学ぶOpenIDのキホン − ＠IT

処理フローは OpenID とほぼ同じようです．OpenID の拡張にしてもよさ
そうに思いましたが，OpenID 以外の認証方法と組み合わせるために独立
したプロトコルにしたのでしょう．

いくつか気になった点がありました．

現在の仕様では，アクセスを許可するリソースを限定できないように思い
ました．つまり，写真印刷サービスは，印刷する写真だけでなくすべての
写真にアクセスできてしまいそうです．最終的には修正されると思います
が (詳しくは後述)．

さらに，HTTP メソッドを限定できるとよさそうです．GET は許可するけ
ど，PUT, DELETE は不許可という状況はありそうなので．

簡単なメモを残しておきますので，よかったら参考にしてください．詳し
い説明は ZIGOROu さんあたりがしてくれそうな気がするので，待つこと
にしましょう ;-)

《続きを読む》