http://wiki.oauth.net/OAuth%20Session%20Fixation%20Advisoryを読んだのでのメモを残しておきます。

US時間の金曜に"Yahoo, MySpace, Google, LinkedIn, and Plaxo"がMTGをして、2つの提案を議論したようです。

• OAuth / Signed Callback URLs
• OAuth / Signed Approval URLs

それぞれの概要は以下になります。

■ OAuth / Signed Callback URLs

• Consumer : Request Token取得時のRequestにoauth_callbackパラメータとしてcallback URLを含む
• SP : Request Token発行時にCallback URLを保存しておくか発行するRequest Tokenに含み、Request Tokenと紐づける

Responseにはoauth_callback_accepted=1というパラメータを含む

• Consumer : SPへのリダイレクトURL(Approval URL)にはoauth_callbackパラメータを含まない
• SP : Userが同意後、Callback URLへのパラメータとしてoauth_verifierパラメータを含む
• Consumer : Access Token取得時のRequestにoauth_verifierパラメータを含む
• SP : Access Token発行時にはoauth_verifierパラメータを検証

■ OAuth / Signed Approval URLs

• Consumer : Request Token取得は現行のまま
• Consumer : SPへのリダイレクトURL(Approval URL)にOAuthのパラメータを用いたSignatureをつける
• SP : Approval URLのSignatureを検証
• SP : ConsumerにリダイレクトするURL(Callback URL)にcallback_tokenパラメータとしてCallback Tokenの値を含む
• Consumer : Access Token取得時のRequestにCallback Tokenの値を含む
• SP : Access Token発行時にCallback Tokenの値を検証

□ Comparision of proposals

(また更新されるかもしれないので省略)

□ Other comments

(また更新されるかもしれないので省略)

今回は、JP時間27日午前1時過ぎの情報ですので、今後また更新されるかもしれません。
しばらく追っかけてみます。

動画も見ましょう。
http://www.thesocialweb.tv/blog/2009/04/oauth.html