ゼロから学ぶOAuth

第1回　OAuthとは？―OAuthの概念とOAuthでできること

Twitter リスト

2009年3月9日

真武信和

この記事を読むのに必要な時間：およそ 2.5 分

OAuthを体験してみる

smart.fmでGoogleのOAuthを使う

さて，それでは早速UserとしてOAuthを利用してみましょう。smart.fmでは，すでにsmart.fmにいる友達を探す際にGmailとYahoo! Mailのアドレス帳にアクセスするため，OAuthを利用しています。そこで今回はsmart.fmの友達検索を通じて，OAuthを体験することにしましょう。smart.fmのアカウントはお持ちですか？お持ちでない方はユーザ登録を。

図2　smart.fm

smart.fmのGmail友達紹介ページにアクセス
「Googleへ」と表示されているリンクをクリック

今あなたはGoogleのサイトにいて，Googleがsmart.fmにアドレス帳へのアクセス権を渡してよいかどうか，確認を求めているでしょう。「⁠Grant access」をクリックしてアクセス権の委譲を許可すると，smart.fmがバックグラウンドであなたのアドレス帳にアクセスし，既にsmart.fmを利用している友達や，招待可能な友達などをリストアップして提示します。「⁠Deny access」をクリックすると，1)の画面に戻ります。

ここで与えた認可情報は，smart.fm側で「メールアカウント認証を削除」というリンクをクリックするか，Googleの「認証済みのウェブサイト」からsmart.fm（記事公開時点ではまだwww.iknow.co.jpと表示されます）を取り除けば無効になり，もう一度1)からやりなおすことができます。アクセス権委譲の許可／拒否をそれぞれ体験してみてください。

何が行われていたのか？

上記のフローの裏では，以下のようなやり取りが行われています。
（⁠User : あなた，Consumer : smart.fm，Service Provider : Google）

図3　smart.fmでの認証フロー

0.ConsumerはService ProviderからあらかじめOAuth利用許可を得る: このステップは，具体的にはService ProviderにConsumer登録を行い，Consumer KeyとConsumer Secretという値を取得することで行います。
1.UserがConsumerに，Service Providerから認可が必要な情報へのアクセス権を取得するように指示する。: 前述のGoogle OAuthの例では，認可が必要な情報はGmailのアドレス帳，アクセス権取得の指示はユーザがsmart.fmの「Googleへ」というリンクをクリックすることに相当します。
2.ConsumerはバックグラウンドでService Providerにアクセスし，未認可のRequest Tokenを取得する: 第2，3回目のConsumerの実装で詳しく扱います。
3.ConsumerはUserをService Providerにリダイレクトさせる。この際Consumerは未認可のRequest TokenをURL Parameterに付加する: 第2，3回目のConsumerの実装で詳しく扱います。
4.UserはService Provider上でConsumerへのアクセス権委譲を許可する。この際Service Providerは未認可のRequest Tokenを認可済とする: Google上で「Grant access」をクリックすることに相当します。
5.Service ProviderはUserをConsumerにリダイレクトさせる。この際Service Providerは認可済のRequest TokenをURLに含める: 最終回のService Providerの実装で詳しく扱います。
6.ConsumerはバックグラウンドでService Providerと通信を行い，認可済のRequest Tokenを実際のアクセス権を示すAccess Tokenと交換する: 第2，3回目のConsumerの実装および最終回のService Providerの実装で詳しく扱います。
7.Consumerは6)で得られたTokenを利用して，特定の情報にアクセスする: 第2，3回目のConsumerの実装で詳しく扱います。

0.は前もって行われているので，今回あなたが経験したのは1.と4.です。Access Token取得後は，ユーザが明示的にそのAccess Tokenを無効にするか，Access Tokenにあらかじめ設定された有効期限をすぎない限り，Consumerは何度でも情報にアクセスすることができます。

このフローについてもっと詳しく知りたい方は，OAuth Core 1.0のSpec第6章をご覧ください。

まとめ

さて，第1回はOAuthの概念を説明しました。第1回では以下の3点をしっかり押さえていただければ，次の記事もご理解いただけると思います。

OAuthを用いてsmart.fmにGmailのアドレス帳へのアクセス権限を与えた
OAuth Service Provider，OAuth Consumer，Userという登場人物
Request TokenとAccess TokenというTokenベースの認可情報のやりとりと，そのおおまかなフロー

OAuth, Webサービス, smart.fm, Google

著者プロフィール

真武信和（またけのぶかず）

Cerego Japan Inc.で働くWebエンジニア。

smart.fmで外部APIとの連携機能（OAuth Consumer）の開発に携わるほか、smart.fm API（OAuth Service Provider）の開発にも携わっている。

URL：
http://matake.jp/
http://smart.fm/users/matake

バックナンバー

ゼロから学ぶOAuth

第4回　OAuth Service Providerの実装
第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）
第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）
第1回　OAuthとは？―OAuthの概念とOAuthでできること

コメントの記入

お名前
メールアドレス
タイトル
コメント

ピックアップ

「ECHO Tokyo 2017」で見えた業務アプリ開発の未来: 業務アプリの新たな可能性を拓くキーワードとして注目のXAMLが，今後のWindows業務アプリ開発にもたらす可能性について伺いました。
開発スピードに限界を感じたときの処方箋: 「JIRA」をはじめとするアトラシアンのツール群。多くのオープンソースソフトウェアを継続して提供する支えとなっている使い易さを探ってみます。
［Special Interview］3年で300%急成長のベンチャーがSE・PGを大募集！！: 好評連載中の「うまくいくチーム開発のツール戦略」でお馴染みのリックソフト（株）が業務拡大につき各種エンジニアを募集中です。
［特別広報］IPとITが融合する新プロジェクトが始動！エンジニアよ，KADOKAWAで世界を目指せ: KADOKAWAはドワンゴと経営統合し，出版コンテンツとITの2つの文化を持つ企業です。小説やアニメなどの知的財産（IP）をITの力で変革し，付加価値を高めようとしています。

その他の連載

CSS3アニメーションでつくるインターフェイス表現: CSS3によるアニメーション表現を紹介していきます。その中でも，幅広い読者に応用してもらえるだろうインターフェイスを主なお題とします。
MySQL道普請便り: 本連載では，MySQLを使ったアプリ開発・運用に関するノウハウをご紹介していきます。
Ubuntu Weekly Recipe: Ubuntuの強力なデスクトップ機能を活用するための，いろいろなレシピをお届けします。
JavaScriptセキュリティの基礎知識: JavaScriptに関するセキュリティ上の問題はどこで発生し，どうすれば防ぐことができるのか？について解説していきます。
Javaでなぜ問題が起きるのか〜システムをきちんと運用するための基礎知識: システムは「作って終わり」ではなく，運用の中でさまざまな問題が発生します。問題の発生に備えて事前にどのような対応をしておくべきなのか，問題発生時に何をしなければならないのか，ポイントを解説していきます。
きたみりゅうじの聞かせて珍プレー: ソフトウェア開発の現場で体験したトホホな失敗，思わずうなる珍プレーをきたみりゅうじ氏が四コママンガで紹介。みなさんからの投稿もお待ちしてます！
玩式草子─ソフトウェアとたわむれる日々: Plamo Linuxのメンテナンスの傍ら，Linuxやオープンソースソフトと日々を過ごす著者が，その魅力とつきあい方を，エッセイ風味でお届けします。
はまちちゃんとわかばちゃんのREADER'S FORUM―読者のページ: WEB+DB PRESS特別編集部員，さわやか笑顔のスーパーハカーはまちちゃんとネット大好き14歳わかばちゃんが，毎号，読者の皆さんから寄せられたおたよりを紹介します。皆さんの日頃の悩みにも答えちゃいますよ。