これ、ほんとうにだめなのかな？

http://kokogiko.net/m/archives/002062.html

2007年09月07日 kazuhooku kazuhooku security 実装みてみないとわかんないけど、危ない橋のにおい。別のガジェットからiframeされたらどうなるのとか、Consumerの身元をどうやってユーザーに提示するの、とか

はてなブックマーク - ここギコ！: MappletやiGoogleのガジェット等でOpenIDやはてな認証等を使う方法を思いついた

もしConsumerの身元保証が難しいというのがネックなら、自前サーバとmapplet間はServer to Server でやるのではなく、JSONPをつかってフロントで情報を渡すというのは、どうか。
受け渡しをフロントでやることで、正当なConsumerかどうかをHTTPリファラレベルでチェックできる（AOL OpenAuthの場合とおなじ）。で、mappletは受け取った情報をverifyするためにもう一度発行元の自前サーバに（今度はサーバプロキシ経由で）問い合わせするような形で。

mappletもgadgetも満足に作ったことないけど、仕様見るかぎりjavascript書けるのだったらそりゃjsonpもできるよねー？

。。。

ただ、これ、奥さんのコメントで言ってる１つ目の点がまだよくわかってない。gadget系はgmodule.comで全部おなじドメインで提供されてるだから、一つのモジュールで認証情報とれたら他のモジュールでもアクセスし放題になるんじゃない？ってことを言っているのかな？？？