携帯電話の OAuth 対応と xAuth

unread,

Jun 24, 2010, 5:29:30 AM6/24/10

to

新城＠筑波大学情報です。こんにちは。

OAuth ですが、携帯電話のブラウザでうまく使えないんでしょうか。

twitter の Basic 認証廃止に対応して、xAuth という別の話が出
ています。xAuth は、もともとは手元のコンピュータでプログラム
を走らせてトークンを取ってくるという話と理解しました。でも、
携帯電話だと、そんなプログラムは走らせられない。

携帯電話で xAuth というと、結局、携帯電話に元のサイト
(twitter等)のユーザ名とパスワードを打ち込まないといけない。
そんなのは、やりたくないから OAuth という話だったのに。使う
人から見て、Basic 認証と同じです。

twitter については、xAuth にしても審査制度ということで、一定
の信頼はできるのでしょうけれど。

携帯電話で、OAuth というのは、どうしようもないんですか？
JavaScript とか redirect の問題？　
iPhone なら OAuth しゃべれるのかな。

＼＼　新城　靖　（しんじょう　やすし）　＼＼
＼＼　筑波大学　電子・情報　　　　　　　＼＼

unread,

Jul 6, 2010, 4:42:58 AM7/6/10

to

河野真治 @ 琉球大学情報工学です。

> 携帯電話で、OAuth というのは、どうしようもないんですか？
> JavaScript とか redirect の問題？　
> iPhone なら OAuth しゃべれるのかな。

特に問題あるとも思えないですが。Cockie とかそんな問題ぐらい。

---
Shinji KONO @ Information Engineering, University of the Ryukyus
河野真治 @ 琉球大学工学部情報工学科

unread,

Jul 9, 2010, 5:09:36 AM7/9/10

to

新城＠筑波大学情報です。こんにちは。

ko...@ie.u-ryukyu.ac.jp (Shinji KONO) writes:
> > 携帯電話で、OAuth というのは、どうしようもないんですか？

> 特に問題あるとも思えないですが。Cockie とかそんな問題ぐらい。

問題というと、携帯電話でアクセスするサイトがどのくらい信頼で
きるかどうかですね。xAuth/OAuth をうまく使うと、こんなことが
できます。

(1) 元サイトにユーザ名とパスワードを送り、トークンを得る。
あるいは、手元のPCで動かすプログラムでトークンを得る。
(2) 連携サイトに、トークンを送る。
(3) 連携サイトは、トークンを元サイトに送り、元サイトのサービ
スを利用する。

この方法でと、連携サイトにはパスワードは送らないでよいし、ま
た、トークンも有効期限が１日と何時間とか、そのくらいで切れる
ので、不正アクセスに使われたとしても被害の拡大が防げます。

でも、携帯電話の xAuth だと、こんな感じ。

(1) 連携サイト(携帯電話用)に、ユーザ名とパスワードを送る。
(2) 連携サイトが元サイトにユーザ名とパスワードを送り、トーク
ンを得る。
(3) 連携サイトは、ユーザ名とパスワードを忘れる。
(4) 連携サイトは、トークンを元サイトに送り、元サイトのサービ
スを利用する。

ここで、(3) のステップが入るはずなんだけれど、怪しい連携サイ
トだと入れてくれなくて保存してしまうかもしれません。それが問
題です。あと、連携サイトと Web ブラウザの間が HTTP (S無し)に
なるで、生パスワードが流れてしまうのも問題。

HTTPのBasic 認証だと、通信の度にユーザ名とパスワードを送らな
いとどーしようもないので、そんなもんかという話があります。
でも、せっかく OAuth なら何とかしたいというのが人情です。