OpenSourceConference2011Autumn

行ってきました。 前日にGoogle+のストリームに情報が流れてきて、 タイムテーブル見てみたらOpenIDの話に興味をそそられたのでいってきました。 資料はこちら

以下メモ 現在はほとんどアクセスコントロールが必要 Basic認証が一番簡単だが、パスをサードパーティデベロッパーに預けないといけなくなる。 OAuthの良さ パスワードをshareをしなくていい パスワードをshareしちゃうと有効期限が作れない OAuthを使えば有効期限を作れる 権限のscopeも決めれる B2CではOAuthがもう一般的 B2BでもOAuthが採用され始めている。 OAuthの歴史 2.0は2010年4月に誕生draft0 最新はdraft22 今年度中にはRFC? 詳細仕様はWebを参照してね 2.0ではアクセストークンを?2つのSpecに分けてる。 CoreSpec エンドユーザが認証してクライアントがAccessTokenを要求するところ response_type=code client_id=…&response_type=code&redirect_uri code→めんどいけどセキュア token→簡単だけどちょっともろい Bearerはシグニチャがなくて簡単 OAuth2.0でも結局簡単なBearerが採用されてる API Access方法は簡単→資料参照 →必ずHTTPSで行うこと。(パスワードを送っているようなものだから) token_typeは大抵帰ってこない。 bearerはOAuthにしなきゃだったり、access_tokenはoauth_tokenだったり OpenIDについて そもそもURLを識別子として使おうとしていた。 OpenIDだとログインはできるけど、API Accessできないからなにもできない。 今のOpenIDはOAuth2.0ベースで仕様策定が進んでいる。 OpenID Connect -> OAuth2.0 + token connect-rp.heroku.comでデモやってるよ aud->audience iss->issuer header.payload.signagure このtokenを使ってOAuthの上でOpenIDを実現している。 cookieに入れててもいい。 通常であれば、今回説明した黄色の枠の部分だけ理解すれば実装できるが、 GoogleIDにはてなのURL使いたいとかそういうのがある場合は青枠の部分まで 理解しなければならない。 下3つはOpenIDプロバイダが読むべき内容 OpenIDの理由 SocialとCloud Living in the web OpenStack(クラウドのとは別) OpenIDとOAuth2.0は今まで溝があった?が 今一気に融和が進んでる。 あと、NetCommonsっていう国が作ってるオープンソースCMSのデモセッション見てきました。国が手動でCMS作ってたりするんですねー。 結構使い勝手は良さそうだったけど、正直CMS導入するような立場ではないのでなんとなく見てるだけでした。

0 コメント:

コメントを投稿