OAuth2.0のclient_idにはコロンを入れないほうがいい

Kaoru Maeda 前田 薫 @mad_p

Basic認証って、ユーザー名にコロンが入っていたら使えないのか。client_idにコロン入れないようにしなきゃいかんかった

勝(まさる) @masaru0714

@mad_p ですねえ。最初に見つけたコロンで区切るのでパスワードのほうは大丈夫という

bkihara @bkihara

@mad_p 笑い話ですが笑えないですｗ

nov matake @nov

@mad_p ほんとだ。RFC2617に userid = *<TEXT excluding ":"> って書いてある…

bkihara @bkihara

Digestだったら ':' もだいじょうぶだよ！！！

Katsu Tatsu @kthrtty

@nov @mad_p そうそうなのでURL形式のクライアントIDはNGなのです。。。

Kaoru Maeda 前田 薫 @mad_p

@kthrtty おもいっきり使ってます (;_;)

nov matake @nov

@kthrtty @mad_p ですねぇ。

Katsu Tatsu @kthrtty

@nov @mad_p 昔はそんなABNFはなかったような気がしますが。

👹秋田の猫🐱 @ritou

@kthrtty @nov @mad_p Basic認証でClient AuthNがなければ・・・

Kaoru Maeda 前田 薫 @mad_p

@ritou OAuth2的にはPOSTでclient_id送ればいいので、回避はできますね。それで困ってなかったので気づかなかった…

👹秋田の猫🐱 @ritou

そういえばずっと前にOAuth MLのどっかでBasic認証とABNFの議論してるの見かけたな

Katsu Tatsu @kthrtty

@ritou あ、さっき @nov が言ってたのはBasic認証のABNFであって、OAuth2的にはわざわざ書いてない？

👹秋田の猫🐱 @ritou

@mad_p 回避・・・いやでもAuthZはClient AuthNBasic認証のサポート必須ですよね

nov matake @nov

@kthrtty @ritou OAuth 2.0の方には書いてない気がしますね。（後で見る

Katsu Tatsu @kthrtty

@nov @ritou とするとかなりの不親切w

Katsu Tatsu @kthrtty

RFCの参照ってのはそういうもんかもしれねーが。

Katsu Tatsu @kthrtty

世の中には地雷がたくさんありますね。

Katsu Tatsu @kthrtty

@ritou @mad_p でも、パスワードの文字列にコロン許していなければ、単に後ろから見てちょん切っちゃえば、ぶっちゃけなんとかなりますよ！

👹秋田の猫🐱 @ritou

client_idにURL禁止！とか言っちゃうと、ConnectのSelf-issued OPあたりでもめそうなので静かにしておこう

Kaoru Maeda 前田 薫 @mad_p

@ritou 今後はコロンの入らないclient_idしか発行しないようにします。すでにコロン入りをもらっちゃった人は、そのままPOSTで使い続けてもらうか、新しいclient_idに切り換えてもらうしかないです…

Kaoru Maeda 前田 薫 @mad_p

@nov @nov @kthrtty @ritou OAuth 2.0の方には書いてないんですよ

bkihara @bkihara

すべての ':' で手当たり次第やればとりあえず通るけれど他のレコードとぶつかる可能性はあるよなあ...