OAuth覚書

　pose360でとりあえずのOAuth対応を済ませたので覚書しておきたい。

OAuthってなに？

　Twitter（または他のOAuth対応サイト）で認証されたユーザを、Webアプリケーションなどで認証されたとみなす方式。

 

• メリット
  
  
  
  • 新しいサービス先にユーザ登録するたびにID/パスワードが増えることがない
    

   

  • 新しいサービス先にTwitterのID/パスワードを知られることがない
    

   

 

• デメリット
  
  
  
  • 認証先にTwitterの情報を取得される
    

   

  • 認証先に無断で（ユーザの権限を使って）つぶやかれる可能性がある。
    

   

　この方式だと、TwitterのID/パスワードがサービス先（オリジナルアプリケーション側）に漏れることはない。ただ、現時点（2010年5月）では、認証後に発行されるトークンは無期限に使えてしまう。
　また、OAuth認証をするためには、Twitterにアプリケーションを登録する手続きがあるのだが、審査などがあるわけではない。従って、悪質なアプリケーションも登録出来てしまうのだ。

うっかり怪しいアプリにOAuth認証してしまったら？

　Twitterの「設定」→「連携アプリ」から許可を取り消すことができる。

参考にしたサンプルコード

　Twitter&Google App Engineで始める　Webプログラミング入門

まとめ

　2010年6月末にTwitterのBasic認証が廃止に。
　私はPython-twitterとmikeknappのoauth.pyを使わせてもらったが、さほど難しいことはなかったと思う。

---