[1] OAuth 1.0 の credentials は、 識別子と共有秘密の組です。
[5] credentials は、 識別子と共有秘密で構成されます。
[6] 識別子はプロトコル上その他の方法で直接 (安全でない方法で) 送受信されることがある文字列です。利用者名や応用名、 アカウントといったような対象となる者を識別するものに相当しています。 この値は秘密にする必要はありません。
[7] 共有秘密は、発行時を除きプロトコル上で直接送受信されない文字列です。 合言葉に相当するもので、秘密にする必要があります。発行時も保安輸送路を使うことが求められています。
[37] RFC 5849 - The OAuth 1.0 Protocol ( 版) <http://tools.ietf.org/html/rfc5849#section-1.1>
- credentials
- Credentials are a pair of a unique identifier and a matching shared secret. OAuth defines three classes of credentials: client, temporary, and token, used to identify and authenticate the client making the request, the authorization request, and the access grant, respectively.
[2] 値の長さや値域に仕様上の制限はありません >>45。
[39] 次の3種類があります。
[41] 一時credentials要求に対する応答では、
application/x-www-form-urlencoded を使って引数を符号化し、
一時credentialsを鯖からクライアントに通知します。
oauth_token は一時credentialsの識別子を、
oauth_token_secret は一時credentialsの共有秘密を表します
>>40。
[43] 資源所有者認可の要求では、 URL query
の oauth_token 引数でクライアントが鯖から与えられた一時credentialsの識別子を指定し
(たものをクライアントからの指示で資源所有者がリダイレクトされ) ます
>>42。
ただし、鯖が資源所有者に対して一時credentialsの識別子を指定させる他の方法を用意している場合には、
この引数は省略できます >>42。
[44] 資源所有者認可の応答がリダイレクトする
(鯖が構築して資源所有者に渡す) コールバック URL
では、 URL query の oauth_token 引数に一時credentials
の識別子を指定します >>42。
[46] トークン要求に対する応答では、
application/x-www-form-urlencoded を使って引数を符号化し、
トークンcredentialsを鯖からクライアントに通知します。
oauth_token はトークン識別子を、
oauth_token_secret はトークン共有秘密を表します
>>45。
[9] 認証された要求では、資源所有者を表すために使います >>6。 通常の Web API の利用ではトークンcredentialsの識別子を表し、 トークン要求では一時credentialsの識別子を表します。 該当するものがない時は、この引数は省略できます >>6。