http://wiki.oauth.net/OAuth%20Session%20Fixation%20Advisoryを読んだのでのメモを残しておきます。
US時間の金曜に"Yahoo, MySpace, Google, LinkedIn, and Plaxo"がMTGをして、2つの提案を議論したようです。
それぞれの概要は以下になります。
■ OAuth / Signed Callback URLs
- Consumer : Request Token取得時のRequestにoauth_callbackパラメータとしてcallback URLを含む
- SP : Request Token発行時にCallback URLを保存しておくか発行するRequest Tokenに含み、Request Tokenと紐づける
Responseにはoauth_callback_accepted=1というパラメータを含む
- Consumer : SPへのリダイレクトURL(Approval URL)にはoauth_callbackパラメータを含まない
- SP : Userが同意後、Callback URLへのパラメータとしてoauth_verifierパラメータを含む
- Consumer : Access Token取得時のRequestにoauth_verifierパラメータを含む
- SP : Access Token発行時にはoauth_verifierパラメータを検証
■ OAuth / Signed Approval URLs
- Consumer : Request Token取得は現行のまま
- Consumer : SPへのリダイレクトURL(Approval URL)にOAuthのパラメータを用いたSignatureをつける
- SP : Approval URLのSignatureを検証
- SP : ConsumerにリダイレクトするURL(Callback URL)にcallback_tokenパラメータとしてCallback Tokenの値を含む
- Consumer : Access Token取得時のRequestにCallback Tokenの値を含む
- SP : Access Token発行時にCallback Tokenの値を検証
□ Comparision of proposals
(また更新されるかもしれないので省略)
□ Other comments
(また更新されるかもしれないので省略)
今回は、JP時間27日午前1時過ぎの情報ですので、今後また更新されるかもしれません。
しばらく追っかけてみます。
動画も見ましょう。
http://www.thesocialweb.tv/blog/2009/04/oauth.html