ニュース » mixiアプリ » mixiアプリモバイル版(新方式)の画像・Flash表示時の署名検証用鍵修正のお知らせ
mixiアプリモバイル版(新方式)の画像・Flash表示時の署名検証用鍵修正のお知らせ
2012.08.06 mixiアプリ
mixiアプリモバイル版では、以下について署名を用いることができます。
- 画像やFlash等の表示について>署名付きリクエストについて
署名を使うことで、対象の画像の取得時に送信されるリクエストの改ざんなどの検査を行うことが可能です。
この署名の検証に使用していただいております鍵が、新方式に対応していただいているアプリにおきましても、旧方式の Consumer Key 、Consumer Secret を用いていましたため、2012年08月20日(月) に修正を予定しています。
つきましては、以下をご参照いただき、開発されたmixiアプリにてご対応いただきますよう、お願いいたします。
SAPサーバへのリクエストの検査で使用する鍵の更新について
mixiアプリモバイル版では、画像やFlash等の指定時、クエリパラメーターに "signed=1" を指定することで、コンテンツ取得時に送信されるリクエストに署名が付与されています。この署名付きリクエストを利用することにより、リクエスト内容の改ざんを検知することができます。
署名の検証には、Partner Dashboard における、各アプリの Consumer Secret を使用することになりますが、mixiアプリモバイル版の新方式対応済みアプリにおきまして、旧方式の Consumer Secret を用いなければ検証できない不具合が発生していました。そのため、この鍵を新方式(Graph API)の鍵へ修正いたします。この交換に関する手順として、弊社サーバでの鍵の入れ替えに加えて、署名付きリクエストの送信先サーバに関しても対応が必要となりますので、そのための手順を以下に説明いたします。
手順の概要
新しい鍵への交換のための手順の概要は、以下となります。
- Partner Dashboard の各アプリに掲載されている新方式(Graph API)用の Consumer Secret を確認します。
- xoauth_signature_publickeyパラメータ値に応じて、使用する鍵を切り替えて署名を検証するように、アプリ側サーバのプログラムを変更します。
- 弊社側サーバにて、使用する鍵を変更します。アプリ側サーバに新しい鍵で作られた署名が送信されます。
xoauth_signature_publickey
鍵の交換に合わせて、どの鍵を使って署名を生成しているかを判断するために、xoauth_signature_publickey値が Authorizationリクエストヘッダに追加され、この値として "app_media_graph" が送信されます。
今回の鍵交換の対応として、このxoauth_signature_publickeyの有無と値により、使用する鍵を決定する処理を追加すると良いでしょう。
追加されるxoauth_signature_publickeyパラメータの値は、以下のようになります。
- 追加される値 : "app_media_graph"
また、署名を付与するためのoauth_signatureパラメータ値に関しては、以下となります。
- 交換前: 古い鍵で生成された署名文字列
- 交換後: 新しい鍵で生成された署名文字列
事前テスト方法
新しい鍵を使ったテストを行うことができます。アプリ実行画面を表示する際に、「shindig_beta=1」というパラメータを追記することで、新しい鍵が使われた署名つきリクエストが送信されます。これと同時に、xoauth_signature_publickeyパラメータ値に関しても、"app_media_graph"という値が送信されます。
これにより、署名つきリクエストを受信するプログラムの修正確認を行うことが可能です。
スケジュール
鍵の交換に関するスケジュールは、以下となります。
- 新しい鍵のテスト期間開始 : 2012年8月06日(本日リリース済)
- 新しい鍵への交換: 2012年8月20日
以上、SAPの皆様にはご迷惑をお掛けいたしますが、よろしくお願い致します。