OAuth
要点
- APIを呼び出すにはアクセストークンが必要。アクセストークンは、ConsumerがUserから許可を得たことの証。
アクセストークンを得るまで
- Consumerの依頼によりService Providerがリクエストトークンを発行。
- Userは、Service Providerの画面で(Consumerを介在させずに)許可を出す。
- Service Providerは、リクエストトークンに紐付けして、Userが許可したかどうかを覚えておく。
- Userの許可が終わったあと、ConsumerはService Providerからアクセストークンを得る。
リクエストトークンをUser(のブラウザ)、Consumer、Service Provider間で持ちまわる。
アクセストークンの持ち回り(伝達)手段として、
- Consumer-Serivce Provider間は、APIリクエストのパラメータ/レスポンス
- Consumer→User(のブラウザ)→Service Provider (またはその逆)は、リダイレクト先URLに埋め込まれたクエリ文字列
参考
- OAuthプロトコルの中身をざっくり解説してみるよ
要点と流れ - Yahoo! Japan OAuth 1.0 フロー
流れと、個々のリクエスト・レスポンスの詳細