Re: [twmode-users] OAuthについて

[Yuto Hayamizu]

はやみずです

補足です。

> Twitter側とxAuthについてのメールのやりとりで、やはりconsumer keyは一般
> に見えるようになっているとマズい、みたいなことを言われたので

consumer key ではなく、consumer key と consumer secret が秘匿されるべき、
みたいなメールでした。しかし、consumer keyはHTTPリクエストにそのまま載っ
ているので、別段隠す必要はない気がします。署名に使うconsumer secretさえ
秘匿されていればよいのではないか、というのが今のところの自分の理解です。



で、"request token取得までを代替わりするCGI"ですが、こんな流れを考えて
います。このCGIのことをOAuth proxy CGIとよぶことにします。

[twmode]                [proxy CGI]                       [Twitter]
   +-- A. request ---------->+
                             |
                             +-- B. request "request token"-->+
                                                              |
   +<------------------------+<-- respond oauth_token,   -----+
   |                                 oauth_token_secret
<以降は通常のOAuthプロセス>

このプロセスにおいて、ステップAではproxy CGIにrequest token取得をリクエ
ストするだけなので、何も情報は必要ありません。ステップBでは、Twitterに
request tokenを要求するためにconsumer keyとconsumer secretの2つの値が必
要になります。*** OAuthにおいてconsumer secretが必要なのはステップBだけ
のはず *** なので、あとはTwitter側のレスポンスをtwittering-modeにオウム
返しすればOAuthのプロセスは問題無く進み、consumer secretを第三者に公開
する必要がなくなるはずです。
B以降のステップでもconsumer keyは必要になるので、こちらは
twittering-mode.elに埋め込んでおくか何かする必要があります。

どうでしょう。

----
Yuto Hayamizu

Master's degree student at Kitsuregawa Laboratory
Department of Information and Communication Engineering
Graduate School of Information Science and Technology
University of Tokyo

From: Yuto Hayamizu <y.hayam...@gmail.com>
Subject: OAuthについて
Date: Wed, 02 Jun 2010 21:51:04 +0900 (JST)

> はやみずです
>
> 5月末リリースとか言っていましたが、なんだかんだで6月になってしまいまし
> た。今週末にかけては多少時間がとれそうなので、リリース作業を進めていき
> ます。
>
> # 6/5ならひっくりかえせば29に見えるので変則肉の日リリース..?
>
>> まつおさん
>
> OAuth実装どうもありがとうございます。OAuthについて一つ提案というか相談
> なのですが、consumer keyをtwittering-mode自体に埋め込まずにOAuthを行う
> 方法として、request token取得までを代替わりするCGIをtwmode.sf.netに設置
> するというのはどうでしょう? OAuthのプロセスを完全にはまだ理解できていな
> いので、間違ったことを言っているかもしれませんが。
>
> Twitter側とxAuthについてのメールのやりとりで、やはりconsumer keyは一般
> に見えるようになっているとマズい、みたいなことを言われたので、上記の方
> 法をとればそれが回避できるのではないかと思います。「バイナリファイル、
> テキストファイルに限らず、consumer keyを埋め込んじゃいけないのはデスク
> トップクライアント共通の問題だと思うんだけど、どうするのが最善の方法な
> の？」と問いかけてみて、まだ返答がありませんが。
>
>
> ----
> Yuto Hayamizu
>
> Master's degree student at Kitsuregawa Laboratory
> Department of Information and Communication Engineering
> Graduate School of Information Science and Technology
> University of Tokyo
>

------------------------------------------------------------------------------

_______________________________________________
twmode-users mailing list
twmode-users@lists.sourceforge.net
https://lists.sourceforge.net/lists/listinfo/twmode-users