Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
Oauthってなに?
2013/11/06

Twitter: @tatsuaki_w
Oauthとは
} 

読み方: オーオース

} 

あらかじめ信頼関係を構築したサービス間でユーザの
同意のもとにセキュアにユーザの権限を受け渡しするこ
とが出来るオープンプロトコル
早い話
} 

例:Twitterアカウントを持っているとして

} 

Twitterを別なサービスから利用したり、別なサービスの
ユーザアカウントとして使えるしくみ
Oauthを利用できるサービス
— 

Twitter

— 

Facebook

— 

Yahoo!

— 

Google+

— 

などなどたくさんのサービスで利用できます
メリットは?(twitterをOauthで利用したら)
別なサービスから機能を利用出来る
—  いちいちサービスへユーザー登録しなくても、 Twitterの
アカウントでログイン出来る
—  サービスを退会しなくてもTwitterの設定画面...
ざっくり利用のながれ
ユーザーがついばと!にアクセス
Twi$er	

C	

サービスを
使ってみよう

Twi$erアカウントを持
つCさん	
ついばと!
ついばと!→Twitterへ許可申請
Twi$er	

C	

Twi$erアカウントを持
つCさん	

Aさんのアカウントで
つぶやきたいです

ついばと!
Twitter  →ついばと!へ
ユーザーへの申請依頼
Twi$er	

C	

じゃあAさんから
許可もらってね
Twi$erアカウントを持
つCさん	

ついばと!
ついばと!→ユーザーへ
Twitterでの認証許可依頼
Twi$er	

C	

Aさん Twitterに言って
おいたので、許可して
Twi$erアカウントを持
つCさん	

ついばと!
Twitterでのサービスの
Oauth利用許可依頼
Twi$er	

C	

Twi$erアカウントを持
つCさん	

ついばと!のTwitterの
アクセスを許可します

ついばと!
ついばと!への
Twitterアカウントの使用の許可
Twi$er	

C	

Twi$erアカウントを持
つCさん	

了解。ついばと!の
Cさんのtwitterアカウント
へのアクセスを許可します

ついばと!
Oauthを使ってのつぶやき機能利用
Twi$er	

C	

Twi$erアカウントを持
つCさん	

これをAさんのアカウントで
つぶやいてください

ついばと!	

ほげほげ
実際のつぶやき
ほげほげとつぶやきました

Twi$er	

C	

ほげほげ	

Twi$erアカウントを持
つCさん	

ついばと!
超ざっくりこんな感じ
} 

本当はサーバー側はもうちょっといろいろやりとりをして
います。

開発者の方の参考
↓
}  OAuthプロトコルの中身をざっくり解説してみるよ	
} 
Oauthの機能:レベルを選択出来る
} 

Twitterの場合

} 

Level.1 Read Only
} 

} 

Level.2 Read Write
} 

} 

プロフィールやフォローしているユーザーを見る

...
注意点
• 

例えばTwitterのOauthを使った悪意のあるアプリに登録
を許可したら・・・
つぶやきとか見れるだけかー

A	

許可する	
Twi$erアカウントを持
つAさん	

悪意のあるアプリ	

Twi$er
注意点
• 

スパムのDMを送りつけたり勝手にフォローを全部外した
り、変態ツイートを繰り返したり出来る

Aさんから許可もらってるから
つぶやきますわ
A	
Twi$er	
Twi$erアカウントを持
つAさん	

悪意のあるアプリ	

お...
なにかあったら・・・

外部アプリケーションとの連携を解除!
アクセスを拒否して!	
A	

Twi$erアカウント
を持つAさん	

Twi$er	

おっぱい!
おっぱい!	

使わないアプリケーションは	
  
削除しておくことをオススメ...
そのサービスの連携を切ったとしても。。。
→100%安心出来るわけではない
※サービスがTwitterから取得出来る情報を別途保存して
いた場合は、その情報はそのサービスからしか削除出来
ません。
(例えばついばと!では利用した人のTwitte...
Oauthのここは安心
} 
} 

個人情報は取得できません
→アドレスやパスワードの流出がない
} 

→Oauthに切り替わる前のBasic認証ではパスワードも受渡し
ていました。ひえー

つまり完全な乗っ取り(登録者が操作不能な状...
Upcoming SlideShare
Loading in …5
×

Oauthってなに?

2,551 views

Published on

Oauthについて適当にまとめました

  • Login to see the comments

Oauthってなに?

  1. 1. Oauthってなに? 2013/11/06 Twitter: @tatsuaki_w
  2. 2. Oauthとは }  読み方: オーオース }  あらかじめ信頼関係を構築したサービス間でユーザの 同意のもとにセキュアにユーザの権限を受け渡しするこ とが出来るオープンプロトコル
  3. 3. 早い話 }  例:Twitterアカウントを持っているとして }  Twitterを別なサービスから利用したり、別なサービスの ユーザアカウントとして使えるしくみ
  4. 4. Oauthを利用できるサービス —  Twitter —  Facebook —  Yahoo! —  Google+ —  などなどたくさんのサービスで利用できます
  5. 5. メリットは?(twitterをOauthで利用したら) 別なサービスから機能を利用出来る —  いちいちサービスへユーザー登録しなくても、 Twitterの アカウントでログイン出来る —  サービスを退会しなくてもTwitterの設定画面で連結を切 ればそのサービスのTwitterへのアクセスを拒否出来る —  この際にTwitter自体のパスワードは そのサービスに登録しなくてもよい
  6. 6. ざっくり利用のながれ
  7. 7. ユーザーがついばと!にアクセス Twi$er C サービスを 使ってみよう Twi$erアカウントを持 つCさん ついばと!
  8. 8. ついばと!→Twitterへ許可申請 Twi$er C Twi$erアカウントを持 つCさん Aさんのアカウントで つぶやきたいです ついばと!
  9. 9. Twitter  →ついばと!へ ユーザーへの申請依頼 Twi$er C じゃあAさんから 許可もらってね Twi$erアカウントを持 つCさん ついばと!
  10. 10. ついばと!→ユーザーへ Twitterでの認証許可依頼 Twi$er C Aさん Twitterに言って おいたので、許可して Twi$erアカウントを持 つCさん ついばと!
  11. 11. Twitterでのサービスの Oauth利用許可依頼 Twi$er C Twi$erアカウントを持 つCさん ついばと!のTwitterの アクセスを許可します ついばと!
  12. 12. ついばと!への Twitterアカウントの使用の許可 Twi$er C Twi$erアカウントを持 つCさん 了解。ついばと!の Cさんのtwitterアカウント へのアクセスを許可します ついばと!
  13. 13. Oauthを使ってのつぶやき機能利用 Twi$er C Twi$erアカウントを持 つCさん これをAさんのアカウントで つぶやいてください ついばと! ほげほげ
  14. 14. 実際のつぶやき ほげほげとつぶやきました Twi$er C ほげほげ Twi$erアカウントを持 つCさん ついばと!
  15. 15. 超ざっくりこんな感じ }  本当はサーバー側はもうちょっといろいろやりとりをして います。 開発者の方の参考 ↓ }  OAuthプロトコルの中身をざっくり解説してみるよ } 
  16. 16. Oauthの機能:レベルを選択出来る }  Twitterの場合 }  Level.1 Read Only }  }  Level.2 Read Write }  }  プロフィールやフォローしているユーザーを見る つぶやきやプロフィールの編集が可能 Level.3 Read, Write, & Private Message }  DMを送ったり削除したりも可能
  17. 17. 注意点 •  例えばTwitterのOauthを使った悪意のあるアプリに登録 を許可したら・・・ つぶやきとか見れるだけかー A 許可する Twi$erアカウントを持 つAさん 悪意のあるアプリ Twi$er
  18. 18. 注意点 •  スパムのDMを送りつけたり勝手にフォローを全部外した り、変態ツイートを繰り返したり出来る Aさんから許可もらってるから つぶやきますわ A Twi$er Twi$erアカウントを持 つAさん 悪意のあるアプリ おっぱい! おっぱい!
  19. 19. なにかあったら・・・ 外部アプリケーションとの連携を解除! アクセスを拒否して! A Twi$erアカウント を持つAさん Twi$er おっぱい! おっぱい! 使わないアプリケーションは   削除しておくことをオススメします Se+ng→Apps(設定→アプリ)に一覧があります
  20. 20. そのサービスの連携を切ったとしても。。。 →100%安心出来るわけではない ※サービスがTwitterから取得出来る情報を別途保存して いた場合は、その情報はそのサービスからしか削除出来 ません。 (例えばついばと!では利用した人のTwitterのアカウント IDだけを保存しています。他の情報は保存していませ ん。)
  21. 21. Oauthのここは安心 }  }  個人情報は取得できません →アドレスやパスワードの流出がない }  →Oauthに切り替わる前のBasic認証ではパスワードも受渡し ていました。ひえー つまり完全な乗っ取り(登録者が操作不能な状態)はな いので、何かあればすぐ連携を切ってしまいましょう。 }  使っていないアプリは連携を切っておくことをオススメし ます。 }  おわり   何かあればこちらまで→ @tatsuaki_w

×