これまでに、リファラ情報を利用したJSONサービスのセキュリティ実装について提案してみた。ただし、これはあくまでセキュリティの実現手段の話であり、当たり前であるが設定するセキュリティポリシーによって挙動は異なるべきものである。そこで今回は、このセキュリティポリシーをどのように実装するかについて考えたいと思う。 ユーザがサーバに預けているデータは、異論はあるかもしれないが、一部の例外を除いて基本的にユーザの自由になるべきものである。たとえば、スケジュールであれ住所録であれ、サーバに預けておいたデータはいつでもユーザの自由なときに持ち出して利用したい。もちろん、サービス側にもデータを保持するコストがかかるわけで、できれば預かっているデータは自分のサービス専用のデータとして保持しておきたい場合がほとんどだろう。その気持ちはよくわかる。しかし、少し視点を変えて、ユーザの自由度を増やすことでサービス