ゼロから学ぶOAuth
第1回 OAuthとは?―OAuthの概念とOAuthでできること(gihyo.jp、2009年3月9日、真武信和)
から引用すると、
OAuthは,以下の特徴を持つ「認可情報の委譲」のための仕様です。
・あらかじめ信頼関係を構築したサービス間で
・ユーザの同意のもとに
・セキュアにユーザの権限を受け渡しする
この「信頼関係」とは、Service Provider業者とConsumer業者の間の信頼関係ではなくて、SPのサーバとConsumerのサーバの間での信頼関係を意味しているのでしょうか。
第2回から引用すると
このアプリは,デフォルトの状態ではsmart.fmとGoogleの2つのOAuth Service Providerに対応しています。もちろんどちらも利用できますが,GoogleでのOAuth Consumer登録にはドメイン認証などが必要なので,ここではsmart.fmでConsumer登録を行います。smart.fmのConsumer登録はsmart.fm OAuth Client Applicationsから行えます。
とあって、厳しくてドメイン認証という感じだし、厳しくなければsmart.fmでのConsumer Key取得も一瞬と読めます。
1時間でツイッターサービスを作ろう!(KRAY、func09、2010年07月23日)という記事でも同様に一瞬でConsumer Keyが発行されているように見えました。
(実際のところは知りませんが「読めました」。)
自分で使うだけのための登録であればもちろん問題はないでしょう。
でも、不特定多数のUserが、知らないサービスを使う時、これが安全であるかどうかはConsumerになっているから大丈夫とはいえないようです。
つまりそのサービスを「信頼」するための情報源が別途必要。
その意味で
・あらかじめ信頼関係を構築したサービス間で
の文は、一般利用者向けの解説には使って欲しくないと感じました。
(デベロッパ向けでは…微妙?)