OAuthやxAuth認証なんて言葉をユーザーに見せる必要はない

タイトルだけ見て、みなさんはどう思われたでしょうか?
特に新しい話ではないのですが、ふと思いついたので書いてみました。
かの有名なモバツイのPCの画面に、こんなの書いてあります。

今すぐログイン!(OAuth認証

http://www.movatwi.jp/

こう思うわけです。

  • 別にOAuthじゃなくてもその前のなんとかAuthでもあの有名なSAMLでもなんでも、ユーザーからしたらそんなに変わらない
  • SP達(twitter/facebook/Google)はOAuthって言葉をユーザーに見せてるか?このしくみを使うとどうなるってことだけしか説明されていないはず
  • なので、アピールしたいなら、PWを預けないで限られた範囲のデータを使えるしくみがあるので安全ぽいんですということを説明すればいいのでは

ちなみに日本国内特化型携帯電話機端末搭載ブラウザからはこんな感じになります。

入力されたパスワードは初回のXAuth認証にのみ利用いたします。
認証完了後はモバツイにパスワードを保存いたしません。

xAuthなんてもっとめんどくさいすよね。

  • xAuthかどうかは重要ではない。PWを安全にやりとりして悪用しませんから信用して入力してくれって言えばいいだけ。ぶっちゃけ、安全に使われるならBasic認証でもいいと思う。
  • なので、PWの扱いについてぞんぶんに説明することは問題ない(最初の一回だけ利用、保存しない)
  • (おまけ)XAuthなんて書くとこっちの方と間違われるかも

最後のやつに反応する人はごくわずかだ。あまり心配ない。

もちろん、この質問は想定済だ。「OpenIDとどう違うんだよ」と。
この質問に対する回答は、テキトーに書くと偉い人に怒られてしまうので注意が必要。

個人的には、OpenIDについては"OpenIDっていうこういうしくみがあるんだ。このロゴを使ってるとこで・・・"っていう定番の説明により、
OPになっているところのアカウント情報ならどのRPにでも渡せてPWなどのCredentialを触らせずに便利に使えるってことをユーザーは認識したうえで「OpenIDでログイン」という表記を広めて認知度を上げていくというアプローチをとったように思う。

同意画面に「この画面はOAuthの同意画面ですよ」ってみんな書くようになったら、ユーザーに見せても良いと思うけど、現状ではユーザーにOAuth/xAuthなんていう文言は見せなくていいと思う。