xtra/OAuthMemo

OAuth メモ

OAuth Core 1.0 で規定されているサービスプロバイダの提供する URL それぞれについて、 仕様上は、署名方式は各 URL ごとに違うものを使うことができます。 しかし、一般的にはそれぞれに異なるものを使うメリットはありません。 PLAINTEXT で使ってしまった consumer_secret を HMAC-SHA1 で使ってはいけません。 このような間違いが起こらないように、 署名方式は統一したほうが好ましいでしょう。

OAuth Core 1.0 で規定されている RSA-SHA1 はどういった情報を鍵とするかに関して 記載されていないので、これだけでは実用に耐えないでしょう。 現在 OAuth 仕様の extension で鍵交換に関する仕様が検討されています。 たとえば Apache Shindig では想定する用途の事情からか、 この extension 仕様を導入したうえで、RSA-SHA1 を ベースにしようとしているようです。

プロバイダ文書

サービスプロバイダは次の情報を提示する必要があるでしょう。

request token URL

• URL
• 使用できる HTTP method
• リクエストの追加パラメーター
• レスポンスの追加パラメーター
• 使うことのできる署名方式

access token URL

• URL
• 使用できる HTTP method
• レスポンスの追加パラメーター
• 使うことのできる署名方式

認証 URL

• URL
• リクエストの追加パラメーター
• 使うことのできる署名方式

保護リソース

• URL
• リクエスト追加パラメーター
• 使うことのできる署名方式