意外と知らない人が多いので書いておく。 OAuth 認証において Consumer Secret の漏洩について心配している人が多い。 Twitter API で言うところの Application Type: Client なアプリケーションの場合。 特に、LL(Perl, Ruby, PHP, Python …)で配布する場合。 Consumer Secret は秘匿するべきもので、やはり漏らして良いものではない。 # まぁ、知らないアプリケーションの問い合わせが来ても自己責任だけどね :P そのため、現状ではユーザーごとに Consumer Secret を取ってもらうしかない。 それを改善する手段として、現在 OAuth WRAP/2.0 という仕様が策定されている。 要はリクエストトークンが不要になる。イコール、Consumer Secret も不要になる。 Twitt