OAuth2.0のclient_idにはコロンを入れないほうがいい
Basic認証(RFC2617)ではユーザー名にコロンを含んではいけないことになっています。
OAuth 2.0(RFC6749)ではclient認証にAuthorization Basicサポートが必須と規定されています。
つまりclient_idにコロンを入れると困ってしまうのですが、そのことはOAuth2.0には明示されていません。
client_idにabsolute URIをつい使いたくなるのですが、やめたほうがいいでしょうという話です。
Kaoru Maeda 前田 薫
@mad_p
Basic認証って、ユーザー名にコロンが入っていたら使えないのか。client_idにコロン入れないようにしなきゃいかんかった
2013-06-12 13:55:36
Kaoru Maeda 前田 薫
@mad_p
@ritou OAuth2的にはPOSTでclient_id送ればいいので、回避はできますね。それで困ってなかったので気づかなかった…
2013-06-12 15:35:48
Katsu Tatsu
@kthrtty
@ritou あ、さっき @nov が言ってたのはBasic認証のABNFであって、OAuth2的にはわざわざ書いてない?
2013-06-12 15:39:35
Katsu Tatsu
@kthrtty
@ritou @mad_p でも、パスワードの文字列にコロン許していなければ、単に後ろから見てちょん切っちゃえば、ぶっちゃけなんとかなりますよ!
2013-06-12 15:43:59
👹秋田の猫🐱
@ritou
client_idにURL禁止!とか言っちゃうと、ConnectのSelf-issued OPあたりでもめそうなので静かにしておこう
2013-06-12 15:46:34
Kaoru Maeda 前田 薫
@mad_p
@ritou 今後はコロンの入らないclient_idしか発行しないようにします。すでにコロン入りをもらっちゃった人は、そのままPOSTで使い続けてもらうか、新しいclient_idに切り換えてもらうしかないです…
2013-06-12 15:46:47