uu59のメモ | ウェブサービスAPIの認証(OAuthとかAPIキー)について考えた
最近社内ツール(ウェブサービス)のAPIの認証について考えてる。 ユーザーがブラウザからIDとパスワードを使ってログインする伝統的な感じのサービスだけど、Mechanizeとかを使ってブラウザ以外から操作する要望が高まってきているのでAPIを用意しようみたいになってる。そのAPIでの認証をどうするかという話。特定少数用の小規模なものを想像してもらうといい。 ざっと思いつく案は、 ID/パスワードを使ったBASIC認証 ID/パスワードを使ったBASIC認証以外の認証方式 OAuth SSH key pair ブラウザから設定画面でAPIキー/トークンの発行をするやつ くらい。SSL経由なので盗聴リスクやリプレイ攻撃や改竄については無視していいし、TwitterやFacebookみたいに不特定多数のサードパーティが居るわけでもない。1は便宜的にBASIC認証と書いたけどDigest認証でもあ
各種WebサービスのAPI認証方法を調べてみた
自分でWeb サービスを作る際に、APIの認証ってどうやって作ればよいのだろうと思い立ち、各種Web サービスのAPIの認証方法を調べてみました。 ■Google 参考にしたページはこちら。 http://code.google.com/p/pyrfeed/wiki/GoogleReaderAPI 認証方法 ユーザーIDおよびパスワードを元に、Cookieを生成 認証時のAPI通信 HTTPS POST 認証URL https://www.google.com/accounts/ClientLogin 認証後のAPI通信 HTTP GET/POST, HTTPS GET/POST トークン送出方法 HTTPリクエストヘッダのCookie属性に「SID」を含める Cookieを使う方法ですので、Webブラウザを用いるWebアプリケーションに対する認証の場合は非常に簡単ですが、クライアントアプ
[Web全般] HTTPリクエストの全体像:GETとPOST
HTTPのリクエストは、Java, JavaScript, PHP, Objective-Cなど 様々な言語やフレームワークを使って送信するサービス開発を、多々行ってきました。 でも、HTTPリクエストについてちゃんと知ってるかと言うとビミョーな感じで。 今回は、HTTPリクエストについて学んだので、その内容をブログに書きたいと思います。 HTTPリクエストの構成 HTTPリクエストは、大きく3つの部分に分かれるようです。 HTTPリクエスト行 HTTPヘッダー行 HTTPボディ部 GET通信では、上記のうち「HTTPリクエスト行」と「HTTPヘッダー行」を送信して、 POST通信では、「HTTPリクエスト行」と「HTTPヘッダー行」と「HTTPボディ部」を送信するようです。 具体的な構造は以下となっているようです。 HTTPリクエストの中身は、具体的には以下のような内容のようです。 (G
![[Web全般] HTTPリクエストの全体像:GETとPOST](https://cdn-ak-scissors.b.st-hatena.com/image/square/ee271bfadd97facf8dd1934bbb260ceea017f2c5/height=288;version=1;width=512/https%3A%2F%2Fwww.yoheim.net%2Fimage%2Fs085.png)
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
