[13]

WSSE は HTTP の認証の仕組みの一種です。 2000年代の中頃、いわゆる Web 2.0 時代に、 Web API の認証方式として広く用いられました。その後の OAuth の標準化と普及により、 WSSE は使われなくなりました。

プロトコル

[12] WSSE の解説の多くは仕様あるいは詳細として WS-Security 関連の仕様や解説記事を参照しているが、 HTTP の認証としての WSSE を本当に説明しているものは少ない。 WSSE は歴史的に WS-Security の認証方式を流用して Web API に適用したものであるが、実態として WS-* / SOAP とは関係ない。

[28] 当時は XML が Web の進化の方向性として信じられていたため、 XML を使ったシステム体系である WS-* との整合性が重視されていました。 (整合性といっても「似ている」程度のものですが...) Webアプリケーションのバックエンドとして WS-* を使っている時に、 WS-* と整合した WSSE を使うと一貫したセキュリティーが実現できる、とでも思われていたのでしょうが、現実にはほとんどの Webアプリケーションは WS-* など使う予定すらありませんでしたし、仮にそのような事例が存在したとしても、 HTTP認証と WS-* のセキュリティー機能が連動していたか (それによる利点があったか) は甚だ疑問であります。

[38] この辺の事情は当時の人々にとっては常識だったので、明解な説明がされていない。 XML 神話(バブル)が崩壊した今では意味がまったくわからなかろう。 (XML うぇーい! WS-* うぇーい! Web 2.0 うぇーい! 的なノリとテンションみたいなものなので、当時の人もどれだけちゃんと理解していたのかは怪しい。)

[14] Rewriting Microsoft web services [dive into mark] (2013-07-18 06:44:04 +09:00 版) http://web.archive.org/web/20110411003501/http://diveintomark.org/archives/2003/09/08/msweb-rest
[8] XML.com ( (Mark Pilgrim 著, 2013-07-18 05:53:18 +09:00 版)) http://www.xml.com/pub/a/2003/12/17/dive.html
[9] TypePad Atom API ( (2013-07-18 05:57:35 +09:00 版)) http://web.archive.org/web/20050810011757/http://www.sixapart.com/pronet/docs/typepad_atom_api

[10] おそらく >>8 が唯一仕様と呼べるレベルのもので、 >>9 がおそらく最初の実装リファレンス。 >>9 や >>14 の方が少し緩い。

[3] Atom APIのWSSE認証について - こせきの技術日記 - 技術日記 ( (2013-07-18 05:12:13 +09:00 版)) http://tech.g.hatena.ne.jp/koseki/20050520/AtomWSSE
[1] Windows Live Writer の WSSE 認証 - 大西日記 - はてなダイアリー (2009-03-31 09:29:58 +09:00 版) http://d.hatena.ne.jp/onishi/20080831/1220159168

[11] >>3 によれば >>8、>>9 の digest の計算方法は後に誤りと考えられるようになったが、 >>1 にあるように、未だに両方の実装が存在している。

[15] DifferentlyAbledClients - Atom Wiki (2012-02-14 22:15:19 +09:00 版) http://www.intertwingly.net/wiki/pie/DifferentlyAbledClients

[16] Atom とセットで使われてきたけど IETF の AtomPub は既存の HTTP の認証を使えばいいということになっている。

[29] 結果、現実に存在するプロトコルであるにも関わらず WSSE を明確に規定した仕様書は存在しませんでしたし、 >>11 のような問題が生じても何が正しいかを確定する音頭を取れる人(団体)もいませんでした。

HTTP 認証との関係

[35] challenge は HTTP認証の仕組みに則っていますが、 HTTP要求は独自の HTTPヘッダーだけを使っており、 HTTP認証の仕組みから外れています。

[36] そのため HTTPキャッシュとの関係を考慮しHTTP要求と HTTP応答に適切な Cache-Control: ヘッダーや Vary: ヘッダーを指定する必要があります。

[37] そうしなければ意図せず共有キャッシュに蓄積されて再利用されてしまうかもしれません。クライアントはサーバーが内部でキャッシュサーバーを使っているかわかりませんし、サーバーはクライアントがプロキシを使っているかわかりませんから、どちらも適切な指定を加えなければなりません。

[26] どうやら credentials を Authorization: ではなく独自のヘッダーで送っているのは、 CGI が Authorization: ヘッダーを CGIスクリプトに提供していなかったため >>25 のようです。

[25] New AtomAPI Implementation Release | BitWorking | Joe Gregorio (2015-02-21 01:29:03 +09:00 版) http://web.archive.org/web/20101213023745/http://bitworking.org/news/New_AtomAPI_Implementation_Release2

メモ

Web セキュリティー

[2] LWP::Authen::Wsse を使うとき,なぜ use LWP::Authen::Wsse しなくて良いのか - 理系学生日記 (2010-12-06 17:15:35 +09:00 版) http://d.hatena.ne.jp/kiririmode/20081004/p1

[5] 各サービスにおいてWSSE認証を厳密に確認するようになりました - Hatena Developer Blog ( (2013-07-18 05:18:02 +09:00 版)) http://developer.hatenastaff.com/entry/20110121/1295588374

[6] はてなサービスにおけるWSSE認証 - Hatena Developer Center ( (2013-07-18 05:18:19 +09:00 版)) http://developer.hatena.ne.jp/ja/documents/auth/apis/wsse

[4] Section 11.1. Data Feeds (2007-06-25 13:34:05 +09:00 版) http://82.157.70.109/mirrorbooks/buildingwebsites/0596102356/web2apps-CHP-11-SECT-1.html

Authorization: WSSE profile="cal"
X-WSSE: UsernameToken Username="cal",
        Created="2005-11-14T18:40:04-0800",
        Nonce="bf59559401b2d9e14964823a37836a76",
        PasswordDigest="WgUU6xmxOsGYqhNun9gJZ//C9ew="

[7]

Authorization: WSSE profile="cal"

http://books.google.co.jp/books?id=Cd32Nk6TSoUC&pg=PA283&lpg=PA283&dq=%22authorization:+wsse%22&source=bl&ots=IyXc_uvgzW&sig=4hq1wDbUyyNJgqvSETzJwi1Rv-U&hl=ja&sa=X&ei=7HvnUbLFF8eGkgXxrIAo&ved=0CEQQ6AEwAzhG#v=onepage&q=%22authorization%3A%20wsse%22&f=false

[17] はてな各種APIでのパスワードによるWSSE認証を終了しました(開発者向け) - Hatena Developer Blog (2015-02-21 01:10:49 +09:00 版) http://developer.hatenastaff.com/entry/2014/03/05/185138

[18] WSSEとHTTPダイジェスト認証 | Livingdeadの日記 | スラッシュドット・ジャパン (2015-02-21 01:12:07 +09:00 版) http://slashdot.jp/~Livingdead/journal/488927/

[21] 2.5.個人認証について|アメばた会議API (2015-02-21 01:18:23 +09:00 版) http://ameblo.jp/amebabbs-api/entry-10097322688.html

[22] WSSE認証とパスワードに関する疑問 - F.Ko-Jiの「一秒後は未来」 (2015-02-21 01:19:41 +09:00 版) http://blog.fkoji.com/2009/01261051.html

[23] 【続報】mixi Connect WSSE認証の終了について << mixi Developer Center (ミクシィデベロッパーセンター) (2015-01-21 14:05:14 +09:00 版) http://developer.mixi.co.jp/news/news_connect/011558.html

[24]

AtomPub API について - livedoor Blog ヘルプセンター (2015-02-21 01:22:24 +09:00 版) http://help.blogpark.jp/archives/52372407.html

WSSE 認証は Atom Authentication で言及されている認証方法です。
ユーザ名: ライブドアID
パスワード: ブログ設定に表示されている、AtomPub用パスワード (ライブドアIDのパスワードではありません)

[27] mixi Connect WSSE認証の終了について << mixi Developer Center (ミクシィデベロッパーセンター) (2015-06-04 11:01:29 +09:00 版) http://developer.mixi.co.jp/news/news_connect/011125.html

[30]

WSSE Authentication | Adobe Developer Connection ( (2016-05-16 15:10:00 +09:00)) https://marketing.adobe.com/developer/ja/documentation/authentication-1/wsse-authentication-2

While Adobe will support WSSE Authentication for some time, we encourage the use of OAuth Authentication for the longer term.

[31] >>30 でも冒頭で SOAP 云々と言っていますが、以後まったく SOAP と関係ない説明が続いていますw

[34] WSSE Authentication | Adobe Developer Connection ( (2017-03-04 12:16:23 +09:00)) https://marketing.adobe.com/developer/ja/documentation/authentication-1/wsse-authentication-2

代替

プロトコル

セキュリティー

HTTP 認証との関係

メモ