RE: はてな認証 API の改善案 - ナンセンス不定記Kazuho@Cybozu Labs: はてな認証 API の改善案 1) ちゃんとした MAC を使う注2 1.1) HMAC_SHA1 を使うべき 1.2) パラメータの結合方法を修正すべき注3 1.3) 実行している機能の識別子も MAC に含める 2) コールバック URL の cert を暗号化する F(cert, 秘密鍵) を auth.json の引数にする、ということ注4 3) コールバック URL にも MAC をつける 4) サードパーティアプリケーション(TPA)に、認証リンクのパラメータとしてユーザーのセッション情報を特定する情報を入れるよう要請する (ライブラリレベルで対応?) 追記:3, 4 が満たされれば、サードパーティアプリケーション側でセッションのトレースができるので 2 は不要でしょうか。 前提:cookie がもれない限り安全な認証 API 1について
