OAuthについて、こちらの記事「一番分かりやすい OAuth の説明」が大変に分かりやすかったのですが、「アクセストークン」は、「クライアントアプリケーション」に渡されていました。
これは当然のことだと思いますが、その後、「クライアントアプリケーション」から「全く関係のない別のアプリ」「全く関係のない別のサーバー」へ「アクセストークン」を渡すことが可能で、そこに物理的な制限はないと思いました。
OAuthの思想からすると、これはやるべきではない、やってはいけない、ことのように感じたのですが、実態はどうなのでしょうか?
これは取り締まれるのでしょうか、マナーの問題なのでしょうか?
例えば、Androidアプリ上でアカウント認証して、「アクセストークン」をAndroidアプリは得たとします。
この「アクセストークン」を外部サーバへネットワーク経由で渡してしまえば、そのサーバ上でさも認証したかのように、「Google Drive」から自由に情報を取得することが可能だと思います。
同様に、Androidアプリから、別のAndroidアプリへ共有データとして「アクセストークン」を渡してしまうことも可能で、別のAndroidアプリが「Google Drive」から自由に情報を取得することも可能だと思います。
しかも、そうしていることが、ユーザには分からないようにできるのではないでしょうか。
素朴に、これは「スパイウェア」もどきに感じてしまったのですが、「悪いことしないから」という前提でこういうことやっているサービス、予想ですが、結構、存在しないでしょうか?
例えばこんなアプリをGoogleやAppleにリリースしたら、許されるのでしょうか?
今回、「REST API」を改めて考えてみて、素朴に、疑問に思いました。「アクセストークン」が漏れたら何でもできてしまう。「Google Drive」にアクセスする巷のアプリを何も考えずに使っていますが、実は凄く怖いことなんじゃないかって。Googleはちゃんとそういったことを審査できているのかって。
回答2件
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2018/06/12 10:10