お問い合わせ
会社概要 ソフトウェア 開発ブログ サポート

« 2006年01月 | メイン | 2006年03月 »

2006年02月24日

TypeKeyとWeb APIの(ちょっとした)落とし穴

MTブログでお馴染みの、SixApart規格に、TypeKeyという技術的にも興味深いオンライン認証の仕組みがあります。

これ自体は良いもので、近日一般公開予定の(業務系ソフトですが)Webアプリケーションで使ってみようかなーとちょっと頭をかすめたので、実装を考えてみました。

ユーザとしての利点は、色々なところのID&パスワードを管理する必要なくなる、とか、パスワードを知らせずに様々なサービスで同一のIdentityを利用できるとか...。Webアプリケーション側には、認証情報を保持しないでも良い、というちょっとした利点があります。

TypeKeyの動作として基本的には、

認証画面がWebベースなので、TypeKeyのサイト
https://www.typekey.com/t/typekey/login
へ飛ばして、ログインしてもらって、

認証結果OKだったら、ユーザーのID名と本物か確認するための情報などが_returnで指定したURLにパラメータとしてくっ付いて、リダイレクトされて返ってくる...。

というものだと理解しました。

以上までは良くて、お?いっそ自前の認証捨ててTypeKeyオンリーにしちゃおうか...とまでいったのですが、これにはちょっと問題ありげな事を発見。今開発しているのはいまどきのWebアプリ(w)なので、近い将来的にWebAPIを実装し、クライアントソフトとの連携を考えている訳です。となると、デスクトップ上のクライアントソフトからも認証システムが利用出来ないといけません。今のTypeKeyの仕様だと、用意されたWebページで認証、結果は指定のWebページへ、とデスクトップをすっ飛ばしてくれます。

で、TypeKeyのREST版を希望したいなーと。HTTPのGETでID&Passのパラメータ付でTypeKeyに接続して、JSONでもXMLでも何でも良いけれど認証結果を返してくれたらOKですから。 Spammer対策には、各クライアントソフトにAppKeyを発行し、疑わしいのはBlackList行き、とか。

もっとも、PC上のクライアントソフト内でIDとパスワードを入力してもらって、それをTypeKeyサーバーに送信している時点で、「サードパーティが生の ID/PW を知ることなく」という第三者の認証システムを利用する利点の一つが損なわれる可能性も無きにしもあらず...というのが難です。しかし、まるっきりサードパーティのWebサイトに自分の素のID&Passを渡すのと自分のPC環境内のソフトに入力するのはまったく別の次元なので、一緒くたに話すべきではないでしょう。

こう考えると、現状での方法は、PC上のクライアントソフトからや自Webアプリケーションへのログインは自前のID&Passで認証、それ以外のサードパーティのWebサイトでの利用には、TypeKeyみたいな認証とかを使ってもらうという事になるのでしょうか。なんか違うなぁ...。出来ればTypeKeyオンリーでやれたら楽なのに...ってそれもちょっと違うか。

新たな認証システムのプロトコルを検討されている場合(*1)(*2)、このあたりの対応も上手い具合にならないか検討してもらえると嬉しいですが、どうでしょか。  

追記:よくよく考えた結論。
1.TypeKeyなどだけに認証を依存したWebアプリケーションは場合によってはイクナイ難があるかも。
2.デスクトップのクライアントは“サードパーティ”扱いではない、という方向でここはひとつ。

投稿者 BlogWrite担当 : 21:29 | コメント (2) | トラックバック

2006年02月23日

「Movable Typeでつくる!最強のブログサイト」発売

色々自由にブログをやるなら、やっぱりMovableTypeが便利、でもとっつきにくそう...と感じていらっしゃる方に最適な本が発売されました。 昨年、BlogWriteについての掲載に関して著者の方から御連絡を頂き、やり取りしたので見本誌を頂きました。BlogWriteについて色々と詳しく聞いていただいて、上っ面の紹介ではなく、怒涛の15ページ!にわたってBlogWriteの使い方をとても詳しく書いて頂きました。以下早速レビュー。

Movable Typeでつくる!最強のブログサイト」は、ブログとは、から始まって、デザインのカスタマイズ方法や携帯での閲覧と投稿方法、アフィリエイト、ポドキャストさらにBlogWriteの使い方まで、詳しく、分かり易く書いてあります。MT3.2に対応した解説書というのも嬉しいですね。以前のと、だいぶ変わりましたから。

MovableTypeでのカスタマイズを知っておけば、色々な所で応用が利くようになります。興味のある方は一読されると良いのではないでしょうか。個人的な収穫は、Mail2MTEntryとPhotoGalleryプラグインを知った事です。面白い使い方が出来そう。

因みに、ここのサポートフォーラムでも一部利用している、XOOPSの解説書「XOOPSでつくる!最強のコミュニティサイト」を書かれたのも同じ著者の方。こちらもお勧め。

Movable Typeでつくる!最強のブログサイト
小川 晃夫 南大沢ブロードバンド研究会
ソーテック社 (2006/02)

投稿者 BlogWrite担当 : 22:40 | コメント (0) | トラックバック