OAuth メモ

サービスプロバイダの提供する URL それぞれについて、 署名方式は各 URL ごとに違うものを使うことができますが、 一般的にはそれぞれに異なるものを使うメリットはありません。 PLAINTEXT で使ってしまった consumer_secret を HMAC-SHA1 で使ってはいけません。 このような間違いが起こらないように、 署名方式は統一したほうが好ましいでしょう。

RSA-SHA1 はどういった情報を鍵とするかに関して OAuth Core 1.0 で 記載されていないので、これだけでは実用に耐えないでしょう。 現在 OAuth 仕様の extension で鍵交換に関する仕様が検討されています。 たとえば Apache Shindig では想定する用途の事情からか、 この extension 仕様を導入したうえで、RSA-SHA1 を ベースにしようとしているようです。

プロバイダ文書

サービスプロバイダは次の情報を提示する必要があるでしょう。

request token URL

  • URL
  • 使用できる HTTP method
  • リクエストの追加パラメーター
  • レスポンスの追加パラメーター
  • 使うことのできる署名方式

access token URL

  • URL
  • 使用できる HTTP method
  • レスポンスの追加パラメーター
  • 使うことのできる署名方式

認証 URL

  • URL
  • リクエストの追加パラメーター
  • 使うことのできる署名方式

保護リソース

  • URL
  • リクエスト追加パラメーター
  • 使うことのできる署名方式

    Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes

© 2006-2008 Internet Revolution