2012年10月14日日曜日

OAuth 2.0 が RFC に!!


最後は draft 31 までになり、出る出る詐欺とか言われ続けてきた OAuth 2.0 ですが、Core と Bearer がようやく RFC になりました。

 RFC 6749 - The OAuth 2.0 Authorization Framework
 - http://tools.ietf.org/html/rfc6749

 RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
 - http://tools.ietf.org/html/rfc6750


振り返ると OpenID Foundation Japan で翻訳した約1年前にはまだ draft 22 でしたから1年でかなりリビジョンアップされてきたことになります。

 参考)OpenID Foundation Japan 翻訳・教育 Working Group での翻訳
  OAuth 2.0 core draft 22
  - http://openid-foundation-japan.github.com/draft-ietf-oauth-v2-draft22.ja.html
  OAuth 2.0 Bearer Token
  - http://openid-foundation-japan.github.com/draft-ietf-oauth-v2-bearer-draft11.ja.html


また、途中で Eran Hammer が仕様策定から外れたり、

 OAuth 2.0 and the Road to Hell
 - http://hueniverse.com/2012/07/oauth-2-0-and-the-road-to-hell/

OAuth 3.0 なんていうことを言い始める人が出てきたり、

 OAuth 3.0: The Sane and Simple Way To Do It
 - http://tav.espians.com/oauth-3.0-the-sane-and-simple-way-to-do-it.html

今はOpenIDなどセキュリティを外付けにすることが多いが、これは危ない。特にツイッターやFacebookは外部アプリが多いので、変なのがまぎれこんでもわからない。セキュリティだけは内部でやってほしい。」なんて言い始める人が出てきたり(違)と、、、紆余曲折がありましたがようやくの RFC 化、ということで各サービスもようやく重い腰を上げる時が来たかな?と思います。

Windows Azure Active Directory も、、、WRAP 0.9 とか draft-13 を使ってる場合じゃないですね。早くちゃんと対応をしてもらえると。。
まぁ、WAAD 自体は JWT なのでまだこれからなところもありますが、 Mike Jones も書いているように今回の RFC 化が関連仕様を加速すると思われるので、ちゃんとしたものになるのもそれほど遠い先ではないのかもしれません。

0 件のコメント: