認証情報の受け取りにJSONPを利用する

これ、ほんとうにだめなのかな?

http://kokogiko.net/m/archives/002062.html

2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやってユーザーに提示するの、とか

はてなブックマーク - ここギコ!: MappletやiGoogleのガジェット等でOpenIDやはてな認証等を使う方法を思いついた

もしConsumerの身元保証が難しいというのがネックなら、自前サーバとmapplet間はServer to Server でやるのではなく、JSONPをつかってフロントで情報を渡すというのは、どうか。
受け渡しをフロントでやることで、正当なConsumerかどうかをHTTPリファラレベルでチェックできる(AOL OpenAuthの場合とおなじ)。で、mappletは受け取った情報をverifyするためにもう一度発行元の自前サーバに(今度はサーバプロキシ経由で)問い合わせするような形で。

mappletもgadgetも満足に作ったことないけど、仕様見るかぎりjavascript書けるのだったらそりゃjsonpもできるよねー?

。。。

ただ、これ、奥さんのコメントで言ってる1つ目の点がまだよくわかってない。gadget系はgmodule.comで全部おなじドメインで提供されてるだから、一つのモジュールで認証情報とれたら他のモジュールでもアクセスし放題になるんじゃない?ってことを言っているのかな???