フォーム認証は本当に捨てられないのか - 岩本隆史の日記帳(アーカイブ)
フォーム認証とは 2008年も暮れようかという現在、Webアプリを作る際に「そうだBasic認証を使おう」と思う人はほとんどいないでしょう。ユーザIDとパスワードを入力するログインフォームを用意し、セッションIDをcookieに保存する方法を選ぶのが定石だと思います。ユーザIDとパスワードの代わりにOpenIDを受け入れる方法も考えられますが、セッションIDをcookieに保存するという意味では、先の例と違いはありません。この「セッションIDをcookieに保存する方法」のことを、以下「フォーム認証」と呼ぶことにします。 Basic認証が使われない理由 なぜフォーム認証が選ばれるのか。逆にいうならば、なぜBasic認証*1が選ばれないのか。産業技術総合研究所の情報セキュリティ研究センターでは、Basic認証が使われない理由を下記のようにまとめています。 ログアウト機能がないこと ログインせ
第3回Identity Conferenceに参加した - 岩本隆史の日記帳(アーカイブ)
http://groups.google.co.jp/group/idcon-ja/web/identity-conference-3 こうした集まりの感想としては的外れかもしれませんが、私にとっては夢のようなひと時でした。超豪華メンバーに囲まれながら、素晴らしい発表を聴いたり、おいしいお酒を飲んだり、なんと贅沢なことでしょうか。 id:n_shuyoさんの語られたRPの苦悩話は、逐一うなずける内容でした。私はずっと「認証はOP丸投げでいいや」と無邪気に考えていたのですが、それではダメそうですね。やはり自前でユーザ管理をしつつ、OpenIDでもログインできるようにするのが良いのかなと思いました。「OpenIDでもログインできる」といわれて嬉しいユーザがどれだけいるのか怪しいですが…。 他の方々(id:lopnorさん、id:ZIGOROuさん、id:kmachuさん、id:lyokatoさ
私はmod_rewrite派 - 岩本隆史の日記帳(アーカイブ)
http://neta.ywcafe.net/000870.html rewrite設定が何百ステップにもなるのは、ルーティングをすべてApacheに任せようとするからだ。元記事のようにフロントコントローラ*1を使うなら、rewrite設定は2行で済む。 RewriteEngine on RewriteRule !\.(js|ico|gif|jpg|png|css)$ index.phpこれはZend Frameworkの例(参照)だが、2行目が要件に合わないなら適宜変えれば良い。行の追加が必要になるのはレアケースだろう(フロントコントローラが複数いるとか)。2行で済むのだから、麻薬的な依存など起こりようがない。 上記設定例ではURLに「x」を含める必要もない。「http://geekdb.jp/geek/foo」へのアクセスも、index.phpで処理できる。 というわけで、私はmod_
「オーオース」で良いのでは - 岩本隆史の日記帳(アーカイブ)
「http://labs.unoh.net/2008/02/oauth.html」のスライドを見て、気になった。7ページ目に「"オーオース"じゃなくなって、"オース”と発音する!><」とあり、典拠として下記の文章が挙げられていたからだ。 As for pronunciation, it was originally "oath" but over time it's reverted to "Oh Auth" to make it clear that this is an authentication protocol. It's really only for geeks anyway, since regular folks will only experience implementations in the wild, rather than, for example, gett
信じられるのはVerified IDだけだった - 岩本隆史の日記帳(アーカイブ)
下記の記事の続き。 Consumerのアカウント情報にはClaimed Identifierも紐づけるべきでは - 岩本隆史の日記帳 「ついついツイッター」はアカウント情報とClaimed Identifierが1対1で紐づいている - 岩本隆史の日記帳 アカウント情報にClaimed IDとVerified IDをどう紐づけるべきか - 岩本隆史の日記帳 米Yahoo!でOpenIDがサポートされるという話は「ふーん」てなもんだったけど、Yahoo!を見てみたら、なんとClaimed IDが「yahoo.com」になるというではないか。 Claimed IDが共通になるなら、私の主張した「Consumerのアカウント情報にはClaimed IDも紐づけるべき」というのは無理ですね。すみませんすみません。 結局、こういうことだ。 アバウトミーのやり方が正しい ComsumerはユーザのVe
Consumerのアカウント情報にはClaimed Identifierも紐づけるべきでは - 岩本隆史の日記帳(アーカイブ)
「ID管理と OpenID について - まちゅダイアリー(2008-01-11)」のスライドを見ていて、あれ、と思った。23ページの: 利用しているIdPがサービス終了 他のIdPにdelegateすればIDを変えなくてよい に引っかかったのだ。何が引っかかったかといえば、岡田耕一さんの記事と同じようなこと。 Consumerのアカウント情報にVerified Identifierのみが紐づけられていた場合、IdPがサービスを終了してしまうと、他のIdPにdelegateしてもConsumerのアカウントは使えないのではないか。 既存のConsumerはどうかと思い、たまたまアカウントを持っていた(けど全然使っていない)アバウトミーについて調べてみた。delegate先をlivedoor AuthからmyOpenIDに変えたところ、やはりログインできなくなった。つまり、アバウトミーのアカ
Railsでは「ちゃんとしたWebアプリケーション」が簡単にできるんだろうか - 岩本隆史の日記帳(アーカイブ)
「Railsって難しそうだから」というエンジニアがいる一方で、 Rails本を3冊ほど買って試しているうちに「やったらできちゃった」という非エンジニアがいる、という話。 Railsやらなんやらで敷居が下がると、エンジニアの価値ってどこに残るんだろう、ということになる。うかうかしてると足元が危ういかも。 Matzにっき(2007-04-02) が、20分で作る「Hello World的動的Webページ」はともかく、「ちゃんとしたWebアプリケーション」を作成するのは、そんなに簡単なことではないのではないか。そんなに簡単に手を出してはいけないことなのではないか。 Matzにっき(2007-06-04) Railsでは「ちゃんとしたWebアプリケーション」が簡単にできるんだろうか。簡単にできないんだったら、Railsは非エンジニアが簡単に手を出すべきものではないってことになる。実際そうなんじゃな
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
