OAuth だと Basic 認証に比べてなぜ安全なのか? これは、以前に書いたのですが、書き忘れが当たったので追加します。
もうひとつ、OAuth 認証だと、「誰が書き込んだか」がはっきりわかるという点があります。
たとえば、あるアカウントから大量・無差別なメッセージが書き込まれたとします。
これは、誰がやったのでしょう?
もしかしたら、そのアカウントの正当な利用者かもしれません。もしくは、その利用者が利用しているどこかのサービスかもしれません。もしくは、パスワードが盗まれたのかもしれません。詐欺的なサービスに引っかかったのかもしれません。
従来、このような場合、「アカウント停止」という手段がとられがちでした。
そのアカウントの所有者が、本当に「やった」のかどうかが判断できないのと、それ以前に、SPAM を確実に止めるとしたら、そのアカウントを停止するしか方法がなかったからです。
Basic 認証では、「該当のアカウントのIDとパスワードだけを使う」仕様なので、これは同じ事です。
一方で、OAuth 認証が絡むと事情が変わってきます。
OAuth 認証で何かをしようと思うと、該当するアカウントに関する情報だけでなく、それを投稿する側の(たとえば Bot の)情報も必要です。
ですから、もしも、あるアカウントからSPAMが発信された際、少なくとも、「どんなアプリケーションを使ったか」は特定できます。
それが、たとえば、詐欺的なアプリケーションだった場合、(ユーザーのアカウントではなく)そのアプリケーションのアカウントを停止することで、ユーザーアカウントを有効にしたまま、SPAM を止めるということもできるようになります。
こういう利点もあるのでした。
2010年05月17日
この記事へのコメント
コメントを書く
この記事へのトラックバックURL
http://blog.sakura.ne.jp/tb/38183986
この記事へのトラックバック
http://blog.sakura.ne.jp/tb/38183986
この記事へのトラックバック