ベーシック認証について

金曜日, 2010年4月30日金曜日

Twitterでは、ユーザーを認証するためにいくつかの方式に対応しています。そのうち一つが「ベーシック認証」と呼ばれるものです。この方式にはほとんどのブラウザが対応しているといった利点がありますが、Twitterの場合、ユーザー名/パスワード/メールアドレスの変更やアカウントの削除といった、通常のAPIでは操作ができない機能を利用できてしまったり、通信時のパスワードの秘匿性が高くなかったりするといった問題がありました。このため、万が一、ユーザー名とパスワードを悪意のある第三者(マルウエアの作成者など)の手に渡ると、ユーザーが大きな損害を被る可能性がありました。このほか、間違ったパスワードで何度もログインを試みると、アカウントがロックされてしまうという課題もありました。

こうした課題を解決するために、われわれはOAuth(オース)と呼ぶ新たな認証プロトコルの利用をTwitterのサードパーティー開発者に勧めてきました。OAuthではユーザー名とパスワードの代わりに「トークン」と呼ぶユーザーごとに割り当てられる情報を利用して、サードパーティーが提供するサービスが、ユーザーに成り代わって、Twitterにアクセスできるようにします。

ベーシック認証について

トークンにはユーザー名やパスワードの情報が含まれていない上、トークン自体の管理をユーザーが行えるため、仮に悪意のある第三者のサービスで利用してしまっても、そのトークンを破棄することでその後の被害を防ぐことができます。また、トークンを割り当てられたサービスが利用できるAPIは限定されているので、ベーシック認証のようにアカウントの削除やユーザー名/パスワード/メールアドレスの変更が悪意のある第三者によって行われる心配もありません。

なおOAuthで連携したサービスの管理は、Twitterのログイン後のページから「設定」->「外部アプリ」から行えます。

こうした利点を備えるOAuthの普及が進んだことから、われわれはベーシック認証への対応を2010年6月30日をもって終了する予定です。このためそれ以降は、ベーシック認証を行っていたサービスが利用できなくなる可能性がありますのでご注意ください。

以上、ご不便をおかけすることがあるかも知れませんが、ご理解いただけますようよろしくお願いします。