OAuth認証は

OAuth認証は指定アプリからパスワードを使わないユーザー情報を収集するオープン標準。

今、使うバーションはOAuth2.0。OAuth1.0には大きいSecurity問題が起きてっるため、修復しだが、今ソーシャルメディアはほとんどOAuth2.0を使ってる。

役割

OAuth2.0は四つ役割があります

• リソースオーナー(resource owner)
  • エンドユーザーということ
• リソースサーバー (resource server)
  • Facebookやyahooや個人情報持っているサイト
• クライアント (client)
  • LaunchCartや個人情報を使えたいサービス
• 認可サーバー(authorization server)
  • OAuth認証（リソースサーバーに置いてるplugin）

認証流れ

• (A) まずクライアントがリソースオーナーに認可要求（Authorization Request）を出す。図ではクライアントがリソースオーナーに直接要求を出しているが、認可サーバー経由で間接的に要求する事がのぞましい.
• (B) リソースオーナーは認可要求を許可する旨の返答として認可グラントをクライアントに送る。これも認可サーバー経由で行う事がのぞましい
• (C) クライアントは認可サーバーに認可グラントを送ることでアクセストークンを要求
  • 取られる個人情報を要求する
  • 
• (D) 認可サーバーはクライアントの認証と認可グラントの正当性の検証を行い、問題なければアクセストークンを発行。
• (E)クライアントはアクセストークンにより認証を受けることで、保護されたリソースへのアクセスをリクエスト
• (F) アクセストークンが正当なら、クライアントのリクエストを受け入れる

 

Resources:

• ウェイボー　OAuth認証説明
• Wiki