Embed Size (px)
DESCRIPTION
補足などはこちら http://d.hatena.ne.jp/tkawa/20111222/p1
Citation preview
OAuth Echoの Rails Gem
2011.12.21 第2.1回Twitter API勉強会 #twtr_hack
@tkawa
REST
REST
今回は関係ありません
OAuth Echo
TwitPic
• 画像アップロードサービス
• アカウント登録不要
• TwitterのID・パスワードも入力不要
• どうやって認証してるの?
OAuth Echo
• 認証をService Provider(Twitterなど)に委譲するしくみ
• クライアントがOAuth登録してあれば、事前の登録やトークン取得が不要
GET https://api.twitter.com/1/account/verify_credentials.json
Authorization: OAuth oauth_consumer_key="GDdmIQH6jhtmLUypg82g",oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y",oauth_signature="U1obTfE7Rs9J1kafTGwufLJdspo%3D",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1272325550",oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw",oauth_version="1.0"
POST http://api.twitpic.com/2/upload.json
X-Auth-Service-Provider: https://api.twitter.com/1/account/verify_credentials.jsonX-Verify-Credentials-Authorization: OAuth oauth_consumer_key="GDdmIQH6jhtmLUypg82g",oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y",oauth_signature="U1obTfE7Rs9J1kafTGwufLJdspo%3D",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1272325550",oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw",oauth_version="1.0"
POST http://api.twitpic.com/2/upload.json
X-Auth-Service-Provider: https://api.twitter.com/1/account/verify_credentials.jsonX-Verify-Credentials-Authorization: OAuth oauth_consumer_key="GDdmIQH6jhtmLUypg82g",oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y",oauth_signature="U1obTfE7Rs9J1kafTGwufLJdspo%3D",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1272325550",oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw",oauth_version="1.0"
(ほぼ)これだけ
GET https://api.twitter.com/1/account/verify_credentials.json
Authorization: OAuth oauth_consumer_key="GDdmIQH6jhtmLUypg82g",oauth_nonce="oElnnMTQIZvqvlfXM56aBLAf5noGD0AQR3Fmi7Q6Y",oauth_signature="U1obTfE7Rs9J1kafTGwufLJdspo%3D",oauth_signature_method="HMAC-SHA1",oauth_timestamp="1272325550",oauth_token="819797-Jxq8aYUDRmykzVKrgoLhXSq67TEa5ruc4GJC2rWimw",oauth_version="1.0"
OAuth Echo
• Delegator(TwitPic)はリクエストごとにService Provider(Twitter)に認証を求める
• 1リクエストで完結する単純なAPIの実装に向いている
• 認証だけなので、Service Provider(Twitter)
側に書き込んだりすることはできない
• 非公式仕様- ほぼTwitterでしか使われていない
• OAuth 1.0仕様に基づいており、OAuth 2.0
になると使えない
- Google, Facebook, GitHubなどがOAuth 2.0
問題点?
class PostsController < ApplicationController http_basic_authenticate_with :name => "tkawa", :password => "secret"
def index render :json => { :message => "Limited Access" } end ...end
かんたんBasic認証
class PostsController < ApplicationController oauth_echo_authenticate_with :twitter
def index render :json => { :message => "Limited Access" } end ...end
かんたんOAuth Echo認証
https://github.com/tkawa/oauth_echo_authentication
きっかけ
http://www.atmarkit.co.jp/news/201004/21/twitterapi.html
きっかけ
• Twitterのアノテーションの話がいつのまにか消滅
• 自分で使いたい分だけでも自分で作るか
![[MS-XOAUTH]: OAuth 2.0 Authorization Protocol ExtensionsMS... · 5.1 Security Considerations for Implementers ... The OAuth 2.0 Authorization Protocol Extensions extend the OAuth](https://img.pdfslide.us/doc/110x75/5ed9cbc2c775f12f0c20691c/ms-xoauth-oauth-20-authorization-protocol-extensions-ms-51-security-considerations.jpg)
![[MS-OAUTH2EX]: OAuth 2.0 Authentication Protocol …...OAuth 2.0 Authentication Protocol Extensions describes extensions to the OAuth 2.0 Authentication Protocol. These extensions](https://img.pdfslide.us/doc/110x75/5eb4d05f58109d6ba4701889/ms-oauth2ex-oauth-20-authentication-protocol-oauth-20-authentication-protocol.jpg)
