FacebookのSigned Request

• Facebookログイン - ドキュメンテーション - 開発者向けFacebook
• ログインフローを手作業で構築する - Facebookログイン - ドキュメンテーション - 開発者向けFacebook

使われどころはこんな感じですね。

• アプリがfacebookの環境からロードされたとき
• ユーザーがアプリを登録/削除したとき

このとき、以下のようなsigned_requestパラメータが指定されます。

vlXgu64BQGFSQrY0ZcJBZASMvYvTHu9GQ0YM9rjPSso
.
eyJhbGdvcml0aG0iOiJITUFDLVNIQTI1NiIsIjAiOiJwYXlsb2FkIn0

見やすいように改行されていますが、"."より前はSignature,後はBase64 URL EncodeされたJSONデータになります。

JSONデータの中身はこちら。

• user
• algorithm
• issued_at
• user_id
• oauth_token
• expires
• app_data
• page

サンプルではalgorithmがHMAC-SHA256で、Keyにはapp secret(client secret)が利用されているようです。RSAでSignature作りたい場合などはどうするのでしょうか・・・

次に、OpenID Connectで使われているJWTを見てみましょう。

OpenID Connect : JWT(JWS)を用いた署名つきパラメータ

OpenID Connectでは、通常のOAuth 2.0のAuthorization RequestにOpenID Connect独自のパラメータなどを追加するためにちょっと拡張します。その際に、リクエストの内容をJSONオブジェクトにして署名をつけた文字列を作成し、"request"パラメータとして送っています。

その時にJSONオブジェクトから作成された文字列をJWTと呼び、以下の仕様で定義されています。

• draft-jones-json-web-token-07 - JSON Web Token (JWT)
• draft-jones-json-web-signature-04 - JSON Web Signature (JWS) : こっちが署名のつけ方など

バージョンが古いJWSを説明したエントリはこちらです。→ JSON Web Signatureの紹介 - r-weblife
ちょっと端折りますが、内容はこんな感じです。

• Header, Payload, Signatureの３つで構成
• HeaderはalgなどSignatureに必要な値が入ったJSONデータをBase64 URL Encodeしたもの
• Payloadは送りたいJSONデータをBase64 URL Encodeしたもの
• SignatureはHeaderで指定した内容で生成した署名をBase64 URL Encodeしたもの

似てますよね。自分がこっちよりの立場なこともありますが、facebookのやり方よりもこっちの方が汎用的な気がします(そうなるように設計されています)。

mixiのPlatformのようにOpenSocialに準拠しているようなところは別ですが、OAuth 2.0でAPIを提供しているようなところが署名付きのリクエストをやりとりしたいなーと思った場合はこちらのJWSを用いるのはいかがでしょうか？

このあたりは引き続きウォッチしていきたいと思います。
ではまた。