Anonymous OAuth Test

4,099 views

Published on

Googleが実装した Anonymous OAuth の機能を使ってみた

Published in: Technology
0 Comments
2 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total views
4,099
On SlideShare
0
From Embeds
0
Number of Embeds
843
Actions
Shares
0
Downloads
0
Comments
0
Likes
2
Embeds 0
No embeds

No notes for slide

Anonymous OAuth Test

  1. 1. r-weblife Googleが実装した Anonymous OAuth の機能を使ってみた =ritou http://d.hatena.ne.jp/ritou
  2. 2. r-weblife 自己紹介 • 名前 • Ryo Ito (id:ritou) • アカウント • twitter,friendfeed,hatena : ritou • ブログ • r-weblife http://d.hatena.ne.jp/ritou/ • 内容はOpenID/OAuthあたり • 所属 • ひみつ • 2009年10月現在、社会人4年目
  3. 3. r-weblife このスライドの内容 • http://googlecode.blogspot.com/2009/11/oauth- enhancements.html • The ability to use OAuth without registration • Consumerアプリの事前登録が必要なOAuthにおいて、 Googleは未登録のConsumerに対する実装を開始し たらしい • 使ってみる
  4. 4. r-weblife 仕様 • UnregistedなConsumerの場合でも、OAuthのリクエス トに必要なパラメータは変わらない • っていうか変えちゃいけない • Consumer Key/Secretには”anonymous”の文字列を 利用し、HMACのSignatureをつける • http://code.google.com/intl/ja/apis/accounts/docs/OAut h_ref.html#SigningOAuth • If your application is not registered, select HMAC-SHA1 and use the following key and secret: consumer key: "anonymous" consumer secret: "anonymous"
  5. 5. r-weblife 実際に動かしてみたい • Googleが提供しているOAuthのテストツールである OAuth PlayGroundを利用する • http://googlecodesamples.com/oauth_playground/ • ここならConsumerKey/Secretを変えて動作確認ができる • 仕様通り動くかどうかと、画面の違いを確認する
  6. 6. r-weblife まずは普通のOAuthフローを見てみる
  7. 7. r-weblife OAuth PlayGroundを開く Consumer Keyが googlecodesample.comである ことに注目 →事前登録してあるもの
  8. 8. r-weblife Request Token取得要求 1.CalendarのScopeをチェック 2.ここをクリックするとRequest Token取得要求が送られる
  9. 9. r-weblife RequestTokenを用いてAuthZ要求 1.RequestTokenと TokenSecretが取得できている 2.ここをクリックするとAuthZ要求が送られる
  10. 10. r-weblife (ログイン画面省略して)Consent Page 詳細は自分で確認してください。
  11. 11. r-weblife Anonymousの場合
  12. 12. r-weblife Request Token取得要求 1.CalendarのScopeをチェック 2.Signature methodはHMAC-SHA1 3.ConsumerKeyにanonymousを指定 4.ConsumerSecretにもanonymousを指 定 5.ここをクリックするとRequest Token取得要求が送られる
  13. 13. r-weblife RequestTokenを用いてAuthZ要求 1.ちゃんとRequestTokenと TokenSecretが取得できている 2.ここをクリックするとAuthZ要求が送られる
  14. 14. r-weblife (ログイン画面省略して)Consent Page おそらくcallback_urlのドメインを表示している Anonymous用メッセージだと 思われる
  15. 15. r-weblife Hybridのときはどうなる? • Consumer Key/SecretをAnonymousにして Hybrid(OpenID + OAuth)は動作するのか?
  16. 16. r-weblife HybridのConsentPage この2つがOAuthのAuthZ要求対象
  17. 17. r-weblife ConsumerKeyの部分をAnonymousに変えると。。。 OAuthのAuthZ要求対象がなくなり、ただ のOpenIDの画面になってしまった。。。
  18. 18. r-weblife まとめ • Anonymous Consumer対応は確かに実装されていた • OAuthのみの場合だけ対応 • Hybridは非対応

×