Top > xtra > OAuthMemo

* OAuth メモ [#tc0d8c84]
サービスプロバイダの提供する URL それぞれについて、
署名方式は各 URL ごとに違うものを使うことができますが、
一般的にはそれぞれに異なるものを使うメリットはありません。
OAuth Core 1.0 で規定されているサービスプロバイダの提供する URL それぞれについて、
仕様上は、署名方式は各 URL ごとに違うものを使うことができます。
しかし、一般的にはそれぞれに異なるものを使うメリットはありません。
PLAINTEXT で使ってしまった consumer_secret を HMAC-SHA1 で使ってはいけません。
このような間違いが起こらないように、
署名方式は統一したほうが好ましいでしょう。

RSA-SHA1 はどういった情報を鍵とするかに関して OAuth Core 1.0 で
OAuth Core 1.0 で規定されている RSA-SHA1 はどういった情報を鍵とするかに関して
記載されていないので、これだけでは実用に耐えないでしょう。
現在 OAuth 仕様の extension で鍵交換に関する仕様が検討されています。
たとえば Apache Shindig では想定する用途の事情からか、
この [[extension 仕様>http://dirk.balfanz.googlepages.com/oauth_key_rotation.html]]を導入したうえで、RSA-SHA1 を
ベースにしようとしているようです。

** プロバイダ文書 [#hc112917]
サービスプロバイダは次の情報を提示する必要があるでしょう。

request token URL
- URL
- 使用できる HTTP method
- リクエストの追加パラメーター
- レスポンスの追加パラメーター
- 使うことのできる署名方式

access token URL
- URL
- 使用できる HTTP method
- レスポンスの追加パラメーター
- 使うことのできる署名方式

認証 URL
- URL
- リクエストの追加パラメーター
- 使うことのできる署名方式

保護リソース
- URL
- リクエスト追加パラメーター
- 使うことのできる署名方式

    Front page List of pages Search Recent changes Backup Referer   Help   RSS of recent changes

© 2006-2008 Internet Revolution