今日、私たちのサイトの一部のユーザーが私たちの組織の YouTube アカウントに動画をアップロードできるようにする Google APIを入手しました。ユーザーにユーザー名とパスワードを知られたくないのですが、YouTube に動画をアップロードするかどうかを選択できるようにします。彼らがそれを行うことを選択した場合、チェックボックスをオンにして送信ボタンを押します。
私がやりたいことを実装するための最良のオプションのように見える ClientLogin は、Web アプリケーションでのユーザー認証にはお勧めできません。「Web アプリケーション用の AuthSub」は、私が実装したいものに最適なメカニズムではないようです!
何をすべきかについてのアイデアはありますか?
ありがとうございました
グーグルAPIと他のビデオサービスプロバイダーAPIで遊んだ後、私は認証について多くを学びました。oAuthとAuthSubは、Googleがサードパーティのウェブアプリケーションをユーザーアカウントに対して認証するために使用する2つの方法です。
プロセスは最初は厄介に見えるかもしれませんが、一度理解すれば、それほど悪くはありません。次の画像は、AuthSubプロセスを示しています。
http://code.google.com/apis/accounts/docs/AuthSub.html#AuthProcess
認証をリクエストし、ユーザーが自分のgoogleアカウントにサインインする場合、ユーザーが自分のアカウントで何かを行うためのアプリケーションの許可を与える前に、ドメインがgoogleに登録されていない場合、ユーザーはアクセスを許可しようとしているアプリが登録されていないため、注意するように指示する厄介な赤いボックス。
古い学校のユーザー名とパスワードに対するこれらの方法の利点は、(私の意見では)次のとおりです。
これらすべてを踏まえると、ユーザー名とパスワード(ClientLoginが行うこと)を使用してユーザーアカウントに接続することがなぜ悪い考えであるかを理解できると思います。他の認証方法では、同じこと(アクセスの要求)を実行して、多くの利点を追加できます。
AuthSubを使用してユーザーを認証する方法のコードは、ここにあります。これは、ほとんどプラグアンドプレイです。$_SESSION['sessionToken']をDBなどのより永続的な場所に保存してください。
http://code.google.com/apis/youtube/2.0/developers_guide_php.html#AuthSub_for_Web_Applications
アプリケーションはユーザーのログイン資格情報を処理する必要があるため、ClientLoginはここでは推奨されるメカニズムではありません。ユーザーのIDをセッションよりも長く確立する必要がある場合、資格情報を保存する必要があり、これは理想的ではありません。サーバーの侵害は、Googleユーザーの侵害につながります。したがって、ClientLoginはアプリケーションにとって適切なアプローチではありません。
Google OAuthを見たことがありますか?これは、パスワード処理の問題を非常にエレガントに解決し、確立された標準です。
私は同じ問題を抱えていて、最終的に ClientLogin を使用しました。ユーザーにログイン プロセスのどの部分も見せたくない場合は、これで十分です。
AuthSub やその他の認証方法でこれを行うためのより良い方法があるかどうかはわかりません。