さくらたんどっとびーず » OAuth http://sakuratan.biz モロモロ工事中です Sun, 25 Jun 2023 12:51:51 +0000 ja hourly 1 http://wordpress.org/?v=3.2.1 Twitter OAuth の非プログラマ向けの説明 http://sakuratan.biz/archives/1383 http://sakuratan.biz/archives/1383#comments Mon, 16 Nov 2009 18:57:06 +0000 さくら http://sakuratan.biz/?p=1383 (続きを読む)]]> 今日はアルファアライグマ記念日!ww

てことでプログラマとかその辺じゃない人に知っといてもらいたい Twitter OAuth のご説明をお送りしたいと思います。ちなみに OAuth はオースと読みます。いかりや長さんですねww

OAuth 認証

まず OAuth の認証ページについて。

OAuth アプリに付与されるアクセス権限

Twit Delay

このキャプチャは Twit Delay のものですが、OAuth 認証時に表示されるメッセージはどのアプリでも同じではありません。

重要なのは、Twit Delay by sakuratan.biz would like the ability to access and update の部分。Twit Delay と sakuratan.biz はアプリケーション名と運営者ですが、その後の access and update が、そのアプリがどのような種類の処理を行うかを示しています。Twit Delay はポスト(投稿)を行いますので、update(更新)する権限が必要な訳です。

更新を行わないアプリの場合は、access and update の部分が以下のキャプチャのように access になります。(今作ってる最中のアプリからキャプったので、フルサイズでお見せできません。サーセン)

ro access

ただこれ、update 権限が無いアプリでもまったく更新できない訳ではなかったと思いますので、access だから安心とかとそういう問題でもなかったと記憶しています。(調べ直してないので思いっきり嘘言ってるかもしれませんwww)

いずれにしても access になってるのは作ってる側もその辺意識してるってことなので、読み込み権限が必要無さそうなのに access and update になってるアプリは注意した方が良いと思います。

許可するか拒否するか

許可する場合について特にあれこれ言うことはありませんが、拒否する場合について。

拒否を押すとこんなページが開くのですが、

denied

OK, you’ve denied Twit Delay access to … のアプリケーション名の部分、ここでは Twit Delay ですが、これリンクになってましてクリックするとアプリケーションに拒否したことが通知されます。

んでまともなアプリなら拒否通知を受けてクッキーとか内部で保持してるデータを消すことがあります。(この時点では内部データを持ってないこともありますので、何も削除しないかもしれませんけど。)ですので、できたら拒否った後でリンククリックして削除処理を実行する機会をアプリに与えてあげると余計なデータが残ることを防げます。

まともじゃないアプリについても許可する前の段階では何も悪さできないので、拒否してリンクをクリックすること自体に問題はないです。

許可した後の話

一旦許可した OAuth アプリは、http://twitter.com/account/connections から一覧を見ることができます。

さきほど説明した access and update と access についてもこの一覧から見ることができます。なぜかこちらは日本語に訳されてて、access and update が読み書き access 、access が 読取専用 access になってます。下のキャプチャですと、Twit Delay が access and update、Twilog が access です。

OAuth 一覧

んでこの一覧に許可を取り消すというリンクがありますが、これをクリックするとそのアプリから OAuth を使ってあなたのアカウントにアクセスすることはできなくなります。

ただ注意してもらいたいのは、OAuth アプリはだいたい認証用のデータ等を内部的に保持してまして、ここで許可を取り消してもアプリ上に残ってるデータは消えないことがあります。

アプリによってはサインアウトというかデータ削除用の操作を付けてる場合があります。しかし、サインアウト処理自体が無かったり、その方法が分かりにくい場合、またサインアウト処理があったとしても、最終的に何らかのデータがそのアプリに残っちゃうことは最初に OAuth で許可する時点で覚悟しておいてください。

集積したデータ自体に意味があるようなサイトは、たぶんサインアウト処理してもデータは消さないと思うので、バグや悪意の有無に関わらずサインアウトしてもデータが残ることは今日なんだかいけそうな気がする〜あると思います。

要は、認証しちゃったら何かデータ残るかもしれないよ、でも認証外したらそのアプリからツイッターに何かすることもできなくなるよ、ってことです。なんでサインアウト方法が分からない時はとりあえず許可を取り消しちゃうのもありだと思います。

自分でよく分からなかったら、詳しそうな人にツイッターで訊いちゃうのも手っ取り早いかもしれません。@ で訊いたらウザがられると思いますので、普通に質問つぶやけば良いんじゃないでしょうかw

認証前に注意すべき点

タイムリーなところで、Q&Aなうスパムだと話題になってましたが、参加ボタンの下に参加時に参加通知がTwitter上に投稿されることをご了解くださいと注意書きはされてますので、ちと騒ぎすぎという気もします。

Q&Aなう

ま、参加通知という言葉自体の意味が分かりにくいですけど。OAuth アプリ作ってるポックンから見ても、これで投稿されちゃうのはちと詐欺っぽい気がします。

いずれにしても、スパムだと騒いだ時点ではもう遅いので、こういうことがお嫌いならあまり簡単に OAuth 認証で許可しないことをお勧めします。本当に使いたいと思った時点で認証されるのが良いのではないでしょうか。

]]> http://sakuratan.biz/archives/1383/feed 10