Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Anonymous OAuth Test

4,198 views

Published on

Googleが実装した Anonymous OAuth の機能を使ってみた

Published in: Technology
  • D0WNL0AD FULL ▶ ▶ ▶ ▶ http://1url.pw/Y0Kow ◀ ◀ ◀ ◀
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Anonymous OAuth Test

  1. 1. r-weblife Googleが実装した Anonymous OAuth の機能を使ってみた =ritou http://d.hatena.ne.jp/ritou
  2. 2. r-weblife 自己紹介 • 名前 • Ryo Ito (id:ritou) • アカウント • twitter,friendfeed,hatena : ritou • ブログ • r-weblife http://d.hatena.ne.jp/ritou/ • 内容はOpenID/OAuthあたり • 所属 • ひみつ • 2009年10月現在、社会人4年目
  3. 3. r-weblife このスライドの内容 • http://googlecode.blogspot.com/2009/11/oauth- enhancements.html • The ability to use OAuth without registration • Consumerアプリの事前登録が必要なOAuthにおいて、 Googleは未登録のConsumerに対する実装を開始し たらしい • 使ってみる
  4. 4. r-weblife 仕様 • UnregistedなConsumerの場合でも、OAuthのリクエス トに必要なパラメータは変わらない • っていうか変えちゃいけない • Consumer Key/Secretには”anonymous”の文字列を 利用し、HMACのSignatureをつける • http://code.google.com/intl/ja/apis/accounts/docs/OAut h_ref.html#SigningOAuth • If your application is not registered, select HMAC-SHA1 and use the following key and secret: consumer key: "anonymous" consumer secret: "anonymous"
  5. 5. r-weblife 実際に動かしてみたい • Googleが提供しているOAuthのテストツールである OAuth PlayGroundを利用する • http://googlecodesamples.com/oauth_playground/ • ここならConsumerKey/Secretを変えて動作確認ができる • 仕様通り動くかどうかと、画面の違いを確認する
  6. 6. r-weblife まずは普通のOAuthフローを見てみる
  7. 7. r-weblife OAuth PlayGroundを開く Consumer Keyが googlecodesample.comである ことに注目 →事前登録してあるもの
  8. 8. r-weblife Request Token取得要求 1.CalendarのScopeをチェック 2.ここをクリックするとRequest Token取得要求が送られる
  9. 9. r-weblife RequestTokenを用いてAuthZ要求 1.RequestTokenと TokenSecretが取得できている 2.ここをクリックするとAuthZ要求が送られる
  10. 10. r-weblife (ログイン画面省略して)Consent Page 詳細は自分で確認してください。
  11. 11. r-weblife Anonymousの場合
  12. 12. r-weblife Request Token取得要求 1.CalendarのScopeをチェック 2.Signature methodはHMAC-SHA1 3.ConsumerKeyにanonymousを指定 4.ConsumerSecretにもanonymousを指 定 5.ここをクリックするとRequest Token取得要求が送られる
  13. 13. r-weblife RequestTokenを用いてAuthZ要求 1.ちゃんとRequestTokenと TokenSecretが取得できている 2.ここをクリックするとAuthZ要求が送られる
  14. 14. r-weblife (ログイン画面省略して)Consent Page おそらくcallback_urlのドメインを表示している Anonymous用メッセージだと 思われる
  15. 15. r-weblife Hybridのときはどうなる? • Consumer Key/SecretをAnonymousにして Hybrid(OpenID + OAuth)は動作するのか?
  16. 16. r-weblife HybridのConsentPage この2つがOAuthのAuthZ要求対象
  17. 17. r-weblife ConsumerKeyの部分をAnonymousに変えると。。。 OAuthのAuthZ要求対象がなくなり、ただ のOpenIDの画面になってしまった。。。
  18. 18. r-weblife まとめ • Anonymous Consumer対応は確かに実装されていた • OAuthのみの場合だけ対応 • Hybridは非対応

×