昨今流行の認証についてのメモ。
■OAuth1.0 / OAuth2.0
外部のアプリ(サービス)がSPのデータにアクセスするための認証の方法
ユーザの同意のもとに権限を受け渡してもらう。
ユーザの同意の方法は、ブラウザの認証画面が表示されそこでID/PASSを入力し、それをクリアすると許可する/しないの画面が表示される場合が多い。
ユーザの同意が得られると、認証済みのトークン(アクセストークン)が発行される。
以後、認証済みのトークンを利用して、SP側にて提供されている各種サービス(APIの利用など)が可能になる。
(データを参照したり、データを更新したり・・・)
○OAuth2.0について
OAuth2.0はOAuth1.0に比べて、手続きが簡単になっている。
外部アプリケーションとの連携も多少考慮されているようだが、まだまだ仕様が固まってないらしい(2011/03時点)
参考URL:
http://www.atmarkit.co.jp/fsmart/articles/oauth2/01.html
■xAuth
ID/PASSWORDを渡すと、認証済みトークンを返してくれるAPIが提供されている。
(TwitterはxAuthで認証が可能)
ブラウザ画面を利用した認証画面を経由しなくても良いため、
クライアントアプリケーションにてSPのサービスを利用する場合に便利!
※ でも、クライアントアプリにSPのID/PASSを一旦預けることになってしまうので、セキュリティ的にどうかって議論はあり。
■AuthSub(Google)
Googleの独自の規格っぽい。googleのAPIを使うのに必要。
使い方はOAuthっぽい。
■ClientLogin(Google)
Googleの独自の規格っぽい。googleのAPIを使うのに必要。
ID/PASSWORDを渡すと、認証済みトークンを返してくれる。
TwitterのxAuthみたいな感じかな?

0