OAuth

Last-modified: 2013-10-13 (日) 12:26:10

OAuth

20fsv1SYUxRIqJ1M-D0927.png

要点

  • APIを呼び出すにはアクセストークンが必要。アクセストークンは、ConsumerがUserから許可を得たことの証。

アクセストークンを得るまで

  • Consumerの依頼によりService Providerがリクエストトークンを発行。
  • Userは、Service Providerの画面で(Consumerを介在させずに)許可を出す。
  • Service Providerは、リクエストトークンに紐付けして、Userが許可したかどうかを覚えておく。
  • Userの許可が終わったあと、ConsumerはService Providerからアクセストークンを得る。

リクエストトークンをUser(のブラウザ)、Consumer、Service Provider間で持ちまわる。
アクセストークンの持ち回り(伝達)手段として、

  • Consumer-Serivce Provider間は、APIリクエストのパラメータ/レスポンス
  • Consumer→User(のブラウザ)→Service Provider (またはその逆)は、リダイレクト先URLに埋め込まれたクエリ文字列

参考