Jeff 氏は続けて、これが何故そんなに問題なのかを率直に述べている。手短に言えば、それらのサイトは事実上、アドレス帳をのぞき見るために家の鍵を要求しているようなものだ。
多くの企業や個人がこの問題の解決に取り組んでいる。Google や Yahoo や Microsoft 、そして OAuth プロジェクトも(サイト・英語)その中のひとつである。OAuth は API アクセスを委任するためのオープンな標準の提供を目的としたもので、Blaine Cook 氏、Chris Messina 氏、Larry Halff 氏、David Recordon 氏によって始められた。OAuth ディスカッショングループは 2007 年 4 月に立ち上げられ、実装者たちがプロトコルの提案書のたたき台を作るためのメカニズムを提供している。開発においては Eran Hammer-Lahav 氏と Google の DeWitt Clinton 氏が重要な役割をはたした。バージョン 1.0 の仕様は 2007 年 12 月 4 日に正式にリリースされている。
高いレベルでは OAuth は次のように動作する。
- サイトは、さまざまな Web メールサービスプロバイダとの間にリレーションシップを確立する
- サイトは、Web 上の連絡先リストにアクセスするためのパスフレーズもしくはパブリックキーを共有する
- サイトは、ユーザを Web メールサービスプロバイダのログインページへとリダイレクトする
- .ユーザは、Web メールにログインし、Web メールサービスプロバイダに対して、サイトが自分のアドレス帳にアクセスすることを許可する
Java、 C#、Objective-C、Perl、PHP、Ruby など多くの有名な言語で実装が提供されており、OAuth はすでにかなりの勢いをつけている。これらの実装の多くは OAuth プロジェクトが Google Code リポジトリで(source)公開している。Ryan Heaton 氏による Spring Security 用の OAuth 実装はこちらから入手できる。OAuth をサポートしているサイトには Twitter や Ma.gnolia や Google (ここでアルファリリースが発表されている(source))などがある。
原文はこちらです: