先日OAuth1.0に対応したgooホームガジェットですが、このたび、1.0aにも対応しました。
OAuth1.0で発見された脆弱性(Session Fixation)に対処するために定義された仕様です。
Request Token取得時にoauth_callbackでコールバック先URLを予め指定し、Authorize後に返ってくるoauth_verifier値を使ってAccess Token取得を行うことで、認証だけさせてセッションが乗っ取られるという1.0の脆弱性の対処が行われています。
特に何も変更する必要はありません。サービスプロバイダが1.0aに対応していれば、1.0aとして動作します。
OAuthリクエストを使ったガジェットを開発するには、こちらのドキュメントをご覧ください
OAuth1.0aとは
OAuth1.0で発見された脆弱性(Session Fixation)に対処するために定義された仕様です。
Request Token取得時にoauth_callbackでコールバック先URLを予め指定し、Authorize後に返ってくるoauth_verifier値を使ってAccess Token取得を行うことで、認証だけさせてセッションが乗っ取られるという1.0の脆弱性の対処が行われています。
既存のガジェットをOAuth1.0aに対応させるには
特に何も変更する必要はありません。サービスプロバイダが1.0aに対応していれば、1.0aとして動作します。
OAuthリクエストを使ったガジェットを開発するには、こちらのドキュメントをご覧ください
