Anonymous OAuth Test

r-weblife Googleが実装した Anonymous OAuth の機能を使ってみた =ritou http://d.hatena.ne.jp/ritou

r-weblife 自己紹介 • 名前 • Ryo Ito (id:ritou) • アカウント • twitter,friendfeed,hatena : ritou • ブログ • r-weblife http://d.hatena.ne.jp/ritou/ • 内容はOpenID/OAuthあたり • 所属 • ひみつ • 2009年10月現在、社会人4年目

r-weblife このスライドの内容 • http://googlecode.blogspot.com/2009/11/oauth- enhancements.html • The ability to use OAuth without registration • Consumerアプリの事前登録が必要なOAuthにおいて、 Googleは未登録のConsumerに対する実装を開始したらしい • 使ってみる

r-weblife 仕様 • UnregistedなConsumerの場合でも、OAuthのリクエストに必要なパラメータは変わらない • っていうか変えちゃいけない • Consumer Key/Secretには”anonymous”の文字列を利用し、HMACのSignatureをつける • http://code.google.com/intl/ja/apis/accounts/docs/OAut h_ref.html#SigningOAuth • If your application is not registered, select HMAC-SHA1 and use the following key and secret: consumer key: "anonymous" consumer secret: "anonymous"

r-weblife 実際に動かしてみたい • Googleが提供しているOAuthのテストツールである OAuth PlayGroundを利用する • http://googlecodesamples.com/oauth_playground/ • ここならConsumerKey/Secretを変えて動作確認ができる • 仕様通り動くかどうかと、画面の違いを確認する

r-weblife まずは普通のOAuthフローを見てみる

r-weblife OAuth PlayGroundを開く Consumer Keyが googlecodesample.comであることに注目 →事前登録してあるもの

r-weblife Request Token取得要求１．CalendarのScopeをチェック 2．ここをクリックするとRequest Token取得要求が送られる

r-weblife RequestTokenを用いてAuthZ要求１．RequestTokenと TokenSecretが取得できている 2．ここをクリックするとAuthZ要求が送られる

r-weblife （ログイン画面省略して）Consent Page 詳細は自分で確認してください。

r-weblife Anonymousの場合

r-weblife Request Token取得要求１．CalendarのScopeをチェック 2．Signature methodはHMAC-SHA1 3．ConsumerKeyにanonymousを指定 4．ConsumerSecretにもanonymousを指定 5．ここをクリックするとRequest Token取得要求が送られる

r-weblife RequestTokenを用いてAuthZ要求１．ちゃんとRequestTokenと TokenSecretが取得できている 2．ここをクリックするとAuthZ要求が送られる

r-weblife （ログイン画面省略して）Consent Page おそらくcallback_urlのドメインを表示している Anonymous用メッセージだと思われる

r-weblife Hybridのときはどうなる？ • Consumer Key/SecretをAnonymousにして Hybrid(OpenID + OAuth)は動作するのか？

r-weblife HybridのConsentPage この２つがOAuthのAuthZ要求対象

r-weblife ConsumerKeyの部分をAnonymousに変えると。。。 OAuthのAuthZ要求対象がなくなり、ただのOpenIDの画面になってしまった。。。

r-weblife まとめ • Anonymous Consumer対応は確かに実装されていた • OAuthのみの場合だけ対応 • Hybridは非対応

http://webmemo.uzuralife.com	431
http://d.hatena.ne.jp	193
http://www.slideshare.net	18
http://webcache.googleusercontent.com	12
http://cache.yahoofs.jp	3
http://translate.googleusercontent.com	2
http://webmemo.localhost	1

Anonymous OAuth Test

by Ryo Ito on Nov 07, 2009

Accessibility

Categories

Tags

Upload Details

Usage Rights

7 Embeds 660

Statistics

Anonymous OAuth Test — Presentation Transcript