署名方式 [9] 署名方式signature method には次のものがあります。HMAC-SHA1 HMAC-SHA256 RSA-SHA1 PLAINTEXT
[10] OAuth 仕様としてはどの署名方式 も必須とはなっていません >>7
[13] HMAC-SHA1 [27] Twitter >>26 はてな >>28 >>29 , >>30 , >>31 , >>34 , >>35 , >>38 , >>41 , >>51 HMAC-SHA1
[25] Google は HMAC-SHA1 RSA-SHA1 >>24
[37] Open Bank project は HMAC-SHA1 HMAC-SHA256 >>36
[45] Adobe Digital Publishing Suite Folio Producer API は
HMAC-SHA256 >>44
[47] VitaDock は HMAC-SHA256 >>46 , >>48
[50] WooCommerce は HMAC-SHA1 HMAC-SHA256 >>49
[40] Dropbox は PLAINTEXT >>39 HMAC-SHA1
[43] Evernote は HMAC-SHA1 PLAINTEXT >>42
[26] Authorizing a request | Twitter Developers (2015-03-05 11:17:28 +09:00 版) https://dev.twitter.com/oauth/overview/authorizing-requests [28] OAuth 認証時のエラー一覧 - Hatena Developer Center (2015-03-05 15:25:33 +09:00 版) http://developer.hatena.ne.jp/ja/documents/auth/apis/oauth/problems [24] OAuth 1.0 API Reference - Google Accounts Authentication and Authorization — Google Developers (2014-12-05 11:52:26 +09:00 版) https://developers.google.com/accounts/docs/OAuth_ref#SigningOAuth [29] OpenPNE3 OAuth 対応アプリケーション作成ガイド (2009-09-11 15:26:43 +09:00 版) https://trac.openpne.jp/svn/OpenPNE3/doc/branches/develop/OAuth/ja.txt [30] apiDoc: Withings - 1.0.0 (2015-03-05 16:20:37 +09:00 版) http://oauth.withings.com/api/doc#api-OAuth_Authentication [31] OAuth on Bitbucket - Bitbucket - Atlassian Documentation (2015-03-05 18:51:40 +09:00 版) https://confluence.atlassian.com/display/BITBUCKET/OAuth+on+Bitbucket [34] OAuth Authentication in the Fitbit API - API - Confluence (2015-03-06 08:29:40 +09:00 版) https://wiki.fitbit.com/display/API/OAuth+Authentication+in+the+Fitbit+API [35] Consumer Authentication (2012-09-26 04:52:48 +09:00 版) http://pic.photobucket.com/dev_help/WebHelpPublic/Content/Getting%20Started/Consumer%20Authentication.htm [36] OAuth 1.0 Server · OpenBankProject/OBP-API Wiki (2015-03-06 08:46:04 +09:00 版) https://github.com/OpenBankProject/OBP-API/wiki/OAuth-1.0-Server [38] AWeber Email Marketing API - API Reference - OAuth Authentication (2015-03-06 08:57:06 +09:00 版) https://labs.aweber.com/docs/authentication [39] Using OAuth 1.0 with the “PLAINTEXT” signature method | Dropbox Developer Blog (2015-03-06 09:25:13 +09:00 版) https://blogs.dropbox.com/developers/2012/07/using-oauth-1-0-with-the-plaintext-signature-method/ [41] API | Tumblr (2015-03-06 09:27:33 +09:00 版) https://www.tumblr.com/docs/en/api/v2 [42] 認証 - Evernote Developers (2015-03-06 09:30:38 +09:00 版) https://dev.evernote.com/intl/jp/doc/articles/authentication.php [44] folio-producer-api/CreateSession.php at 3bd6b18ec96fd26eb53ff3833d1b2d2aa434b3f8 · CoffeeAndCode/folio-producer-api (2015-03-13 09:20:25 +09:00 版) https://github.com/CoffeeAndCode/folio-producer-api/blob/3bd6b18ec96fd26eb53ff3833d1b2d2aa434b3f8/app/DPSFolioProducer/Commands/CreateSession.php#L73 [46] AUTHORIZATION Header · Medisana/vitadock-api Wiki (2015-03-13 09:35:48 +09:00 版) https://github.com/Medisana/vitadock-api/wiki/AUTHORIZATION-Header#user-content-signature [48] Definitions · Medisana/vitadock-api Wiki (2015-03-13 09:37:46 +09:00 版) https://github.com/Medisana/vitadock-api/wiki/Definitions [49] WooCommerce REST API Documentation v2 (2015-03-11 03:10:19 +09:00 版) http://woothemes.github.io/woocommerce-rest-api-docs/#authentication [51] Opera: Opera Link API Beta (Frank M. Palinkas, Technical Writer 著, 2015-03-14 20:58:39 +09:00 版) http://www.opera.com/docs/apis/linkrest/#auth [11] 鯖 は独自の署名方式 を使うことができます >>7
[33] 新しい署名方式 を規定する際は、 oauth_body_hash ハッシュアルゴリズム を規定するべきです >>32
実装上の困難 [14] 署名 は OAuth 1.0 の中で最も複雑で実装しづらく、嫌われていました。
OAuth 2.0 では TLS を必須とすることで署名 を除去しています。
[15] 署名 は技術的にはそれほど難解ではなく、特に署名アルゴリズム の実装を既存のライブラリーに委ねている場合には、
クライアント や鯖 が自前で行わなければならない処理はほとんどありません。
それでも実装しづらいのは、何重にも符号化 を重ねていること、
そのパーセント符号化 にバリエーションが多く誤った選択をしても気づきにくいこと、
署名 対象となる HTTP要求 の各構成部分 (URL の各部や引数 )
の扱いが既存のライブラリーや WAF 等で様々で、それぞれが独自の符号化 や変換、
独自データ構造での保持などを行っていて実際に送信される値を取得するのが難しかったり、
不可能だったりすることなど、様々な罠があります。
[16] 例えば鯖 は WAF によって復号 された対象URL ではなく、
要求対象 として指定されたパーセント符号化 を保持したURL が必要です。
[18] 例えば逆串 の裏側で動作する鯖 は、クライアント が指定した元の
Host: ヘッダー の値にアクセスできる必要があります。
[17] 例えばクライアント は入力として与えられた対象URL
に query が含まれていれば、正しく復号 して再度符号化 して署名 対象としなければなりません。
[20] 例えば鯖 が使う WAF によっては multipart/form-data application/x-www-form-urlencoded payload body
を透過的に扱い、署名 の計算に必要な後者で指定された引数 のみを取り出すことができないかもしれません。
[21] 例えば鯖 が HTTP鯖 とアプリケーションサーバー 、
その中間で動作するミドルウェア といったソフトウェア部品で構成される場合
(具体的には WSGI や PSGI などの場合) で、ミドルウェア が署名 の計算に必要な対象URL
や application/x-www-form-urlencoded アプリケーションサーバー は正しく署名 を計算できないかもしれません。
アプリケーションサーバー とミドルウェア の開発者が異なる場合やミドルウェア が条件
(URL のパターンや本番サーバーか開発サーバーの違いなど) 次第で適用されたりされなかったりする場合、
アプリケーションサーバー 側の開発者が署名 の計算に失敗する理由を特定するのは困難かもしれません。
[19] 署名 は要求引数 を必要としており、要求URL の一部である URL query や
application/x-www-form-urlencoded payload body
の生成とも関係しています。そのため、狭義の HTTP要求 の生成処理と OAuth 1.0
の処理を完全に分離することが難しく、 HTTP 処理ライブラリーのモジュール化設計に悪い影響を与えています。
これも OAuth 1.0 、とりわけその署名 が嫌われる一因となります。
[22] 署名 が正しく処理されるためには鯖 とクライアント の両方がすべての生成過程を正しく実装する必要があり、
通常は互いがどのように署名 を計算したかを知ることができません。
このことが署名 の実装をより困難にしています。
[23] 例えば鯖 が使用している署名 計算ルーチンが引数 に非ASCII文字 が含まれる場合だけ文字コード の扱いに不具合があるとします。
その引数 に非ASCII文字 が含まれることが滅多になければ、
鯖 の開発者はその不具合に気づかないかもしれません。
クライアント が正しく署名 を計算していると、当然ながら両者の署名 は一致しませんが、
クライアント 側の開発者がこの不具合に気づくのは困難です (この例ではクライアント 側が非ASCII文字 を含めることも滅多にないのでしょうから、クライアント 側の利用者 からの報告で開発者が問題に気づいても、非ASCII文字 が原因と特定することさえ難しいかもしれません)。
鯖 の開発者としても、署名 の不一致が自身の不具合によるものかクライアント の問題によるものか判断するのは困難です。