OAuthによるデスクトップアプリケーション認証 - Codin’ In The Free WorldLife is beautiful: WSSEのセキュリティリスクとその対処法に関する一考察 このやり方では、SHA1というアルゴリズムをパスワード管理に使っているという事実を 公開してしまうことになるので、それもあまり嬉しくないかと思います。 もちろん、生でパスワードを保存しているより遥かにマシですが。 OAuthを使えば、必ずブラウザ上でログイン画面を通すことにより、 認証方式はサービス次第、パスワードをどのように管理してるかを 漏らすこともなくなります。 また、OpenIDのRPであるサービスが認証付きのAPIを提供したいと考えたとき、 エンドユーザのパスワードを持っていないわけですから、 WSSEやBasic認証は使えないのでOAuthが良い選択肢の一つになるでしょう。 (APIを利用したいユーザーにはそのためのIDとパスワードを別途登録させる、という選択肢もあります) ネガティブ
