OAuth WRAP について今北産業に答える

  1. request token は使用しない
  2. エンドポイントはすべて SSL になってるのでリクエストに署名をする必要がない
  3. ブラウザを認可画面にリダイレクトさせて戻ってきた wrap_verification_code を使って wrap_access_token と wrap_refresh_token を取得したら wrap_access_token で protected resource にアクセスできるし wrap_access_token が expire したら wrap_refresh_token を使って新しい wrap_access_token を取得すればいい
  • ちなみに、Web App Profile だけの話です
  • 他のは全然知らない、というか Appendix B の URL が書かれている部分しか読んでない
  • 大後輩が https://r-weblife.sakura.ne.jp/towrap/ というのをやってて、それをいじりながら wrap_client_state を指定するとなんかおかしくなる〜とか、token の refresh がうまくいかない〜とか言うと、次の日には直ってるという事態に大変感動したので、はてダをしたためることにしました
  • それで、OAuth WRAP についてですが、URL を組み立てたり、ブラウザをリダイレクトさせたり、どこかのサーバを叩いてデータを取ってくることさえできれば、特にはまりどころもなく利用できそうな印象です
  • Sunaba にサンプルのクライアントを置いてみました
    • http://sunaba.plackperl.org/app/jrl_h69c3xgmlha_byudvg
      • 色々丸見えな状態なので、試すときは自己責任でお願いします
      • Sunaba についてもよくわかってなくて、パラメータの受け取り方とか適当です
      • Sunaba の制限で https で接続すべきところが http になっています
  • みなさまにおかれましても、TOWRAP! で一足先に OAuth WRAP のクライアント開発を体験されてはいかがでしょうか