クロスドメインでのデジタルアイデンティティを守る APIアクセス権を委譲するプロトコル、 OAuthを知る 作島 立樹 NRIパシフィック 2008/1/21 マッシュアップと呼ばれる仕組みで、既存のWebサービスが次々とつながり、新たなサービスが登場している。しかし、メールアドレスなど重要な個人情報が意図せずに「つながれてしまう」可能性もある。そこで登場したのがアクセス権の「委譲」を目的としたプロトコル、OAuthである。本記事ではOAuthの仕組みとともに、なぜそれが登場したのかという背景にも触れる(編集部) マッシュアップの犠牲になるユーザーのアイデンティティ GETなどのHTTPメソッドをもちいてURLへリクエストする、いわゆる「RESTful」【注1】なWeb APIを使ったアプリケーション同士の交流は、いままさに隆盛を極めている。「マッシュアップ」と呼ばれているこのサービス形態
今回から始まった「ゼロから学ぶOAuth」。全4回の特集にて、これからのWebサービスを開発する上で不可欠な技術「OAuth」について取り上げます。初回は、OAuthの概念について取り上げます。 はじめに はじめまして、iKnow!改めsmart.fmの真武です。現在smart.fmでは、OAuthやOpenID、OpenSocial、Semantic WebやActivity Streamなどといった新しい技術の導入を積極的に行いサイトを活性化させるとともに、smart.fm APIを通じて我々の技術を外部のデベロッパの方々にも提供しています。 smart.fmは日本最大のOpenID Relying Partyであるだけでなく、国内では数少ないOAuth Consumer(後述)およびOAuth Service Provider(後述)を兼ねるサービスとなっています。こういった背景
自分でWeb サービスを作る際に、APIの認証ってどうやって作ればよいのだろうと思い立ち、各種Web サービスのAPIの認証方法を調べてみました。 ■Google 参考にしたページはこちら。 http://code.google.com/p/pyrfeed/wiki/GoogleReaderAPI 認証方法 ユーザーIDおよびパスワードを元に、Cookieを生成 認証時のAPI通信 HTTPS POST 認証URL https://www.google.com/accounts/ClientLogin 認証後のAPI通信 HTTP GET/POST, HTTPS GET/POST トークン送出方法 HTTPリクエストヘッダのCookie属性に「SID」を含める Cookieを使う方法ですので、Webブラウザを用いるWebアプリケーションに対する認証の場合は非常に簡単ですが、クライアントアプ
Authコンポーネントによる認証は、通常はusersのusernameとpasswordの照合で行うので、この2項目の登録が必須*1ですが、 携帯の固有IDの登録のみで認証を通す方法もありました。 (追記:1/20 22:32 id:ockeghemさんからのご指摘を受けて、IPチェックの必要性について追記しました。) まず、前提として、usersが以下のような内容になっているとします。 mysql> SELECT id, name, username, password, mobile_id FROM users WHERE id=2\G *************************** 1. row *************************** id: 2 name: Cake username: password: mobile_id: eecca936b0ef58b
1.2だとBasic認証対応ページを作るのも超簡単です。 対応させたいControllerにSecurityコンポーネントを適用 まずSecurityコンポーネントを利用します。 class HogeController extends AppController { var $name = 'Hoge'; var $uses = array('Hoge'); var $components = array('Security'); ... } 認証情報を追加 beforeFilterに認証に必要な情報を追加します。 function beforeFilter(){ parent :: beforeFilter(); $this->Security->loginOptions = array('type'=>'basic'); $this->Security->loginUsers = a
1.2系で追加されたAuthComponentは、認証関連の処理を一手に担ってくれる強力なコンポーネントですが、 AuthComponentのパスワード暗号化。登録注意点。CakePHP1.2b - CPA-LABテクニカル http://blog.ne2ma2.com/archives/161 等で紹介されているように、パスワードが自動で暗号化されるために注意が必要です。 上記のサイトでは暗号化の処理の注意点、暗号化される値の事前の算出方法などが紹介されていますが、今回は暗号化自体をしない方法はないかを探ってみました。 暗号化の回避方法 AuthComponentのソースを追ってみたところ、独自の暗号化処理を組み込める仕組みが用意されていました。 AuthComponentのauthenticateプロパティに、hashPasswordsというメソッドを持つオブジェクトをセットすれば、暗
1
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
