ゼロから学ぶOAuth

第1回　OAuthとは？―OAuthの概念とOAuthでできること

Twitter リスト

2009年3月9日

真武信和

この記事を読むのに必要な時間：およそ 2.5 分

OAuthを体験してみる

smart.fmでGoogleのOAuthを使う

さて，それでは早速UserとしてOAuthを利用してみましょう。smart.fmでは，すでにsmart.fmにいる友達を探す際にGmailとYahoo! Mailのアドレス帳にアクセスするため，OAuthを利用しています。そこで今回はsmart.fmの友達検索を通じて，OAuthを体験することにしましょう。smart.fmのアカウントはお持ちですか？お持ちでない方はユーザ登録を。

図2　smart.fm

smart.fmのGmail友達紹介ページにアクセス
「Googleへ」と表示されているリンクをクリック

今あなたはGoogleのサイトにいて，Googleがsmart.fmにアドレス帳へのアクセス権を渡してよいかどうか，確認を求めているでしょう。「⁠Grant access」をクリックしてアクセス権の委譲を許可すると，smart.fmがバックグラウンドであなたのアドレス帳にアクセスし，既にsmart.fmを利用している友達や，招待可能な友達などをリストアップして提示します。「⁠Deny access」をクリックすると，1)の画面に戻ります。

ここで与えた認可情報は，smart.fm側で「メールアカウント認証を削除」というリンクをクリックするか，Googleの「認証済みのウェブサイト」からsmart.fm（記事公開時点ではまだwww.iknow.co.jpと表示されます）を取り除けば無効になり，もう一度1)からやりなおすことができます。アクセス権委譲の許可／拒否をそれぞれ体験してみてください。

何が行われていたのか？

上記のフローの裏では，以下のようなやり取りが行われています。
（⁠User : あなた，Consumer : smart.fm，Service Provider : Google）

図3　smart.fmでの認証フロー

0.ConsumerはService ProviderからあらかじめOAuth利用許可を得る: このステップは，具体的にはService ProviderにConsumer登録を行い，Consumer KeyとConsumer Secretという値を取得することで行います。
1.UserがConsumerに，Service Providerから認可が必要な情報へのアクセス権を取得するように指示する。: 前述のGoogle OAuthの例では，認可が必要な情報はGmailのアドレス帳，アクセス権取得の指示はユーザがsmart.fmの「Googleへ」というリンクをクリックすることに相当します。
2.ConsumerはバックグラウンドでService Providerにアクセスし，未認可のRequest Tokenを取得する: 第2，3回目のConsumerの実装で詳しく扱います。
3.ConsumerはUserをService Providerにリダイレクトさせる。この際Consumerは未認可のRequest TokenをURL Parameterに付加する: 第2，3回目のConsumerの実装で詳しく扱います。
4.UserはService Provider上でConsumerへのアクセス権委譲を許可する。この際Service Providerは未認可のRequest Tokenを認可済とする: Google上で「Grant access」をクリックすることに相当します。
5.Service ProviderはUserをConsumerにリダイレクトさせる。この際Service Providerは認可済のRequest TokenをURLに含める: 最終回のService Providerの実装で詳しく扱います。
6.ConsumerはバックグラウンドでService Providerと通信を行い，認可済のRequest Tokenを実際のアクセス権を示すAccess Tokenと交換する: 第2，3回目のConsumerの実装および最終回のService Providerの実装で詳しく扱います。
7.Consumerは6)で得られたTokenを利用して，特定の情報にアクセスする: 第2，3回目のConsumerの実装で詳しく扱います。

0.は前もって行われているので，今回あなたが経験したのは1.と4.です。Access Token取得後は，ユーザが明示的にそのAccess Tokenを無効にするか，Access Tokenにあらかじめ設定された有効期限をすぎない限り，Consumerは何度でも情報にアクセスすることができます。

このフローについてもっと詳しく知りたい方は，OAuth Core 1.0のSpec第6章をご覧ください。

まとめ

さて，第1回はOAuthの概念を説明しました。第1回では以下の3点をしっかり押さえていただければ，次の記事もご理解いただけると思います。

OAuthを用いてsmart.fmにGmailのアドレス帳へのアクセス権限を与えた
OAuth Service Provider，OAuth Consumer，Userという登場人物
Request TokenとAccess TokenというTokenベースの認可情報のやりとりと，そのおおまかなフロー

OAuth, Webサービス, smart.fm, Google

著者プロフィール

真武信和（またけのぶかず）

Cerego Japan Inc.で働くWebエンジニア。

smart.fmで外部APIとの連携機能（OAuth Consumer）の開発に携わるほか、smart.fm API（OAuth Service Provider）の開発にも携わっている。

URL：
http://matake.jp/
http://smart.fm/users/matake

バックナンバー

ゼロから学ぶOAuth

第4回　OAuth Service Providerの実装
第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）
第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）
第1回　OAuthとは？―OAuthの概念とOAuthでできること

ピックアップ

LightningChart® Traderによるテクニカル分析と証券取引アプリケーションの開発: 証券取引アプリケーションの開発プロセスを大幅に簡素化するLightningChart® Traderのビルドイン機能について紹介します。
福岡を，もっとエンジニアが働きやすい街へ！～第一回エンジニアフレンドリーシティ福岡アワードレポート: 2020年1月31日と2月1日に開催された『第一回エンジニアフレンドリーシティ福岡アワード』表彰式で表彰された，4団体と2企業の取り組み，受賞者のコメントをお伝えします。
「LINE DEVELOPER DAY 2019」レポート: 11月20日と21日の2日間開催された技術カンファレンス「LINE DEVELOPER DAY 2019」。多くの興味深いセッションの中からセレクトしたレポートをお届けします。
コードの安全性・安定性を高める開発サイクル～テスト管理の効率を上げ，脆弱性診断を自動で行う～: 本連載では，連載「業務を改善する情報共有の仕掛け」を受けつつ，安全性・安定性を加えた開発サイクルについて考えていきます。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。