APIアクセス権を委譲するプロトコル、OAuthを知る ― @IT
クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
ウノウラボ Unoh Labs: OAuth プロトコルを知る
こんにちは、naoya です。 昨日の社内勉強会で、OAuth について行いましたので、そのときの資料を公開します。 OAuth プロトコルの解説のあとに、Twitter の OAuth 経由でステータスを更新するクライアントを作ってみたので、そのソースコードをおいておきます。サンプルでは、現在時刻をステータスとして更新しています。ダウンロードは、こちらからどうぞ。ちなみに、OAuth の仕様書では、Authorization ヘッダに埋め込む方法が書いてありますが、Twitter では対応していませんでした。実際に動作を見てみたい人は、サンプルコードを設置してみてください。 サンプルコードに含まれているファイルは、次の通りです。 oauth_twitter.php: まずこのファイルを開きます、Request Token リンクをクリックすると認証トークンを取得開始します oauth_t
OAuthによるデスクトップアプリケーション認証 - Codin’ In The Free World
Life is beautiful: WSSEのセキュリティリスクとその対処法に関する一考察 このやり方では、SHA1というアルゴリズムをパスワード管理に使っているという事実を 公開してしまうことになるので、それもあまり嬉しくないかと思います。 もちろん、生でパスワードを保存しているより遥かにマシですが。 OAuthを使えば、必ずブラウザ上でログイン画面を通すことにより、 認証方式はサービス次第、パスワードをどのように管理してるかを 漏らすこともなくなります。 また、OpenIDのRPであるサービスが認証付きのAPIを提供したいと考えたとき、 エンドユーザのパスワードを持っていないわけですから、 WSSEやBasic認証は使えないのでOAuthが良い選択肢の一つになるでしょう。 (APIを利用したいユーザーにはそのためのIDとパスワードを別途登録させる、という選択肢もあります) ネガティブ
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
処理を実行中です
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
