しかたないんで、自前でセッション管理してみることにした。ユーザーのクッキーに記録するのはIDだけ。あとはそれを見て、DB_Fileに記録したaccess token と token_secret を引っ張り出す。

twitterの OAuth で使うtokenは永続性がある＝ずーっと使えるって話だからこんな面倒なことになるのだ。その場限りなら、ユーザーのクッキーだけでもまあギリギリOKだろうと思ったんだけど、ずっと使えるトークンだと、ユーザーのブラウザのクッキーに記録させるのはちょっと怖いじゃないか。で、ずっと使えるのに、クッキーをその場限りにしておいて、いちいちアクセスさせるとAPI制限に引っかかりそうだし。

てことでコードを書くだけ書いた。それでも、これでも、やっぱり。面倒くさいだけのOAuth使うヒマがあったら、Basic認証でイケよ、どうせセキュリティ的には目くそ鼻くそだぜ、と思う自分がいて、モチベーションが上がらないまま、週末なのですでに赤ワイン。

とはいえ、yahooとかmixiとかgoogleとか、OAuthで繋ぐサービスがあるから、調べておいて損はない、はずだよなぁ。

ちなみに縦書きtwitter、「たてたったー」は、まだBasic認証です。

[12/27 16:26:52]

哀しいほどハマったので、メモ。 perl の Net::OAuthは、わたしには手におえないことがわかった。ちょろっと改造しようにも、オブジェクト指向とやらで、わたしのスキルではソースを追えない。ので、OAuthも自前で作った。そこでのハマりのメモ。

その１．

署名は、メソッド（GETとかPOST）、リクエスト先のURL（パラメータは入れない）、URLにくっつけるパラメータ。の３種類を合わせて元になる文字列を作る。このとき、各々URLエンコードが必要なのだが、ハマったのがURLにくっつけるパラメータ。

key=value＆key=value形式でvalueをURLエンコードするのはいいんだけど、一度URLエンコードした上で＆で繋いでひとつの文字列にしたら、さらに全体をURLエンコードをする必要があった。2重にURLエンコードするような感じ。

その２．

署名に使うシークレットキーは、コンシューマーキーとアクセストークンのシークレットキーがある。twitterの場合なのかHMAC-SHA1の場合なのか調べてないのだが、アクセストークンを取得するまでは、当然ながらコンシューマーキーしか手元にはない。

形式は各々URLエンコードして＆で繋いで、それをキーに使用する。

コンシューマーシークレット＆アクセストークンシークレット

まだアクセストークンのないフェーズでも＆が必要だった。

「コンシューマーシークレット＆」というケツに＆をつけてキーにする。

http://developer.yahoo.co.jp/other/oauth/api.html

http://developer.yahoo.co.jp/other/oauth/signinrequest.html

さすが yahoo！実例が載っていて大助かりだった。