mixi Developer Center (ミクシィ デベロッパーセンター)

mixiアプリ

mixiアプリ » 技術仕様(RESTful API方式) » スマートフォン » アクセスユーザの取得とOAuth Signatureの検証

アクセスユーザの取得とOAuth Signatureの検証

SAPサーバへのリクエストには、実行中アプリケーションやユーザに関する情報や改ざん防止のための署名等の各種パラメータが付加されています。これらを適切に利用することにより、ソーシャルアプリケーションを安全かつ簡単に作成することができます。

リクエスト例

実際に送信されるリクエストのサンプルがこちらです。アプリケーションに最初にアクセスしたとき、スタートURLに設定した「http://example.com/hello.html」に対して各種パラメータが付加され、以下のようなリクエストがSAPサーバに対して送信されることになります。

http://example.com/hello.html?oauth_consumer_key=mixi.jp&oauth_nonce=8edf6cde90a
884f2d1af&oauth_signature=ZhzLCBAzeDm5NNr65AUooc6n0ber2sVUl3ccze%2B%2BH4k3gCMJ8S
9gDX2oTAKkAJZ5xKU66Nk9nb4c%0A2JXt7KWV5pJK0TJ3Cjl%2FSDuqB%2F2cpv6zwgsuNtATzMoFgbc
rx%2BWKiO1Q15hOdGjuY%2B0dhjQUyB2l%0AM4MMCPxn5Cj14n%2Fo%2BVA%3D&oauth_signature_m
ethod=RSA-SHA1&oauth_timestamp=1277104016&oauth_version=1.0&opensocial_app_id=39
4&opensocial_owner_id=xxxxxxxx&opensocial_viewer_id=xxxxxxxx

※署名は実際のものとは異なります

アクセスユーザの取得

SAPサーバへのリクエストに付加されたQueryStringパラメータを参照することにより、現在実行中のアプリやユーザに関する情報を識別することができます。各種パラメータの意味は、以下のようになっています。

  • opensocial_app_id … アプリケーションID
  • opensocial_owner_id … アプリを登録しているユーザのID
  • opensocial_viewer_id … アプリを実行しているユーザのID

なお、mixiアプリ for TouchではCANVASビューのみのサポートとなるため、opensocial_owner_id と opensocial_viewer_id は常に同一の値となります。

OAuth Signatureの検証

SAPサーバへのリクエストには、アプリやユーザに関する情報の他に改ざん防止を目的としたOAuth Signatureが付加されています。mixiアプリ以外からの不正アクセスを防ぐために、必ずこのSignatureの検証を行うようにしてください。この処理を怠ると、悪意を持ったユーザによる不正アクセスが容易になってしまいます。正しく検証を行うことにより、以下のチェックを行うことが可能です。

  • mixi Platformから送信されたリクエストであること
  • リクエストの内容が改ざんされていないこと

署名方式にはRSA-SHA1を利用していて、検証方法はPC版mixiアプリの署名付きリクエストと同じです。実際の検証方法については、署名付きリクエストの検証に関するドキュメントを参照してください。

公開鍵

署名検証に使用する公開鍵を以下に掲載します。セキュリティ向上の観点から、PC版mixiアプリの署名付きリクエストとは異なるものが使われていますのでご注意ください。

-----BEGIN CERTIFICATE-----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-----END CERTIFICATE-----

このページの上部へ