identity conference #5 - snippets from shinichitomita’s journal
NTTの武蔵野は、吉祥寺住民の自分からは非常に近い場所にあったのですが、歩いていったらさすがに時間かかりましたね。 http://groups.google.com/group/idcon-ja/web/5-identity-conference id:ZIGOROu さんに「shinichitomitaもそろそろやっとけよ」と言われたので、ネタをひねり出してプレゼンしてきました。まあ、指名した当の本人は不参加という落ちでしたが。 資料はこちら。前半半分くらい主題とあまり関係ないです。 20090410 Idcon Stomita 五味さんのLibertyあたりの突っ込みに結構マジ返答してしまったなあ、と思いました。KYですいません。 講演内容 僕の他にはnatiさんがOpenSocial / OAuth の簡単デモをやっていた。クライアントはPHPで、RESTful アプリ。 OpenS
OAuth CrossDomain JavaScript Proxy を作った - snippets from shinichitomita’s journal
サービス: http://xdoauthproxy.appspot.com/ ソースコード: http://xdoauthproxy.googlecode.com/ 何ができるか OAuth(3-legged)のAPIがJavaScriptクライアントから簡単に呼べるようになります。 プログラム的には非同期の呼び出しのみで記述でき、面倒な手続き(トークンのやり取り、同意画面の表示など)はプロキシ側で完了します。 プロキシサービスはGoogle App Engine上で動いてます。 コード例 http://xdoauthproxy.googlecode.com/svn/trunk/assets/example.html <!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/ht
Google FriendConnect APIとFacebook Connectという変態たち - snippets from shinichitomita’s journal
遅ればせながら、Google FriendConnect がAPI出しましたね。Google FriendConnect本体がブログパーツ的にウェブに貼付けるものだったので、それ用のガジェット開発キットかなと思ってあつかうと、間違えますね。これ、ぜんぜんガジェット開発者だけの話ではないですよね。 早速えーじさんが記事を書いてます。 サービス提供者にとって,今回公開されたGFCの認証機構は魅力です。OpenIDを使ってすら複雑なサーバー実装を必要とした認証が,HTMLファイルとJavaScriptの設置だけで実現できるのです。認証機能を完全に外部にたよることで,Cookieのパラメータでログイン状態を判断し,さらにそれを認可にも用いることで,サービス提供者は開発の手間を劇的に減らすことができます。 http://gihyo.jp/dev/column/01/social/2009/03180
Facebook Connect をブログにセットアップする簡単チュートリアル動画 - snippets from shinichitomita’s journal
すばらしくわかりやすい。 HOW TO: Add Facebook Connect to Your Blog in 8 Minutes via How to Add Facebook Connect to Your Blog in 8 Minutes – Adweek HTMLにタグを書くだけでできる。この簡単さはヤバい(実際は JavaScript 書いてるところも結構あるけど、まあ無視)。 注意すべき点として、上記の作業だけでは実は何も認証になってない、ということ。なぜって、アイデンティティ情報の取得になにもサーバを絡ませてない(ブラウザ <=> Facebookのダイレクトクロスドメイン通信)ので、コメントのポストで送られてきた情報が正しいかどうかなんて検証のしようがない。なのでコメントをFacebookの友達だけに限定したい、とかいった用途に使える訳じゃない。あくまで名前入力を簡単
Webアプリケーションのマッシュアップおよびクロスドメイン通信のアーキテクチャ、分類 - snippets from shinichitomita’s journal
あらかじめ、結構勝手な観点から語った内容なので、その辺ご容赦ください。 Webアプリケーションのマッシュアップおよびクロスドメイン通信のアーキテクチャについて、一度文章として整理してみたほうがよいかなと思ったので、まとめてみる。まず前提として、この議論における主体は3種類に分類されている。*1 マッシュアップWebアプリケーション Webサービスプロバイダの提供するデータを利用したサービスを提供する主体。 Webサービスプロバイダ 元となるデータをWeb経由で配信するサービス主体。マッシュアップWebアプリとは異なるサイト(ドメイン)で提供されるものとする。 ユーザ 実際にWebブラウザを開いて上記のサービスを利用する主体。 マッシュアップ実現のためには、このうちのどれか1つがクロスドメイン通信に協力的である必要がある。 以下、それぞれの場合について詳細および利点/欠点を挙げる。 マッシュ
GINZA TECH LOUNGE、OpenID - snippets from shinichitomita’s journal
登録忘れてたけど、遅れて行ってきた。申し訳ないが、Yahooの話はほとんど聞けなかった。 mixiが実idを晒してOpenIDやったのは正直以外だったんだけど(きっとYahooと同様の対策をとるだろうと勝手に予想していた)、RPごとに匿名化のオプションを検討してる、という話を聞けたのがよかったです。この前のエントリに通じる話。 ただ、mixiの場合はマイミク認証とか関係認証的なことをやっているので、ここが匿名化でほんとうに大丈夫なのかはちょっと気になりましたが(マイミクひとりしかいないひとのマイミク認証が通れば実IDは断定できる) リクルートの小林さんがつくったATNDは普通にRails+OpenIDでかなりいいものが作れるということを示してた。やっぱ目に見えるものがあり、それが実際に使えることは重要だと思う。 以下ほぼ懇親会の話。 Sunのtkudoさんが辞めたのは聞いていたけど、転職後
OpenID勉強会inドリコム - snippets from shinichitomita’s journal
OpenID勉強会のお知らせ - Hello, world! - s21g OpenID勉強会レポート - Hello, world! - s21g 土曜に行ってきました。1時間ほど遅刻。 最初は2.0のプロトコルの詳細解説をしていたみたい。正直昔から仕様って全然読めないのです。翻訳しようとか、そういうパワーがあるのは怠惰な自分から見たらすごいことです。もっとも、仕様を読みつつ、さらに手を動かすということが重要なのだと思います。このように、仕様がオープンというだけでなく、手を動かしさえすれば動く物が手に入る状況にしておけたのが、ある意味OpenIDの普及(少なくとも開発者コミュニティ内における)の理由であると思います。 続いてzigorouさんのLTプレゼン&第2回アイデンティティ勉強会の時の資料(XRI周り)。個人的に前回の時は聞いてなかったので貴重(SlideShare資料は見ていたけ
SAML, OpenID, 双方向信頼関係 - snippets from shinichitomita’s journal
SAMLからは離れて久しいのだけれども、ちょっと自分の認識が合っているのかどうかが気になったので。 結局のところどうやって OpenID を使うかは, トランザクションに関与する主体のうち, だれが相対的に高いリスクを負うのかで決まる. たとえば 「橋の押し売り」 のケースであれば, おカネを払うことで本当に橋の所有権が得られるのか怪しいから, 買い手 (relying party) はいろいろな方法で “ACME bridge verification” の評判 (リピュテーション) を確認したり, あらかじめ信頼できる 「橋確認業者」 を勝手に自分の電話帳に書いておく (ホワイトリスト) ことになる. (中略) はてさて, OpenID は今後, 前者のような 「relying party 側が高いリスクを負うトランザクション」 の基盤に組み込めるようになるんだろうか!? まあやってで
OpenIDの認知度 - snippets from shinichitomita’s journal
【OpenIDに関する調査】OpenIDの利用率はわずか1.2%/認知率は12% (1/3):MarkeZine(マーケジン) 認知率12%もいってるのか!ついでにSAMLでも調査を取ってみたらいい。偏向度が分かるかも(正気)。 まあマイナーなのは今に始まった話じゃないから別にいいとして、内容の方がちょっと気になる。セキュリティ面での不安、が、意外と多い。これは啓蒙して行く必要がありそうだ、みたいな、馬鹿なことを言うのはやめたい。啓蒙が必要なものってのは、やっぱりこの世の中流行らない。 セキュリティと言ったって、すべてのひとが具体的な脅威(フィッシングなど)を考えて言っているわけではないだろう。個人的には、OpenIDに限らず、Webのシングルサインオン、認証を委譲する、という考え自体が、あまり一般受けしていないのでは、という印象があり、それがその「漠然としたセキュリティの不安」に起因して
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
