« 2005年11月13日 | メイン | 2005年11月15日 »
2005年11月14日
mixi機能拡張に関する株式会社イー・マーキュリー様へのご提案
以下の内容をmixiの機能拡張に関するアイデアとして株式会社イー・マーキュリー様へご提案致します。
◆◆◆ mixiを使ったSSO認証のアイデア ◆◆◆
例えばmixi以外の外部サイトでウェブページやブログを作成して「このコンテンツはマイミクさんだけに見せたいなあ。」と考えた時、現状では、以下のような方法が考えられる。
■考えられる方法
・外部サイトにアクセス制限を設定しmixiでパスワードを告知する
・外部サイトではなくmixiの日記にエントリとして公開する。
・外部サイトではなくmixiのプロフィール欄に記入する。
しかし、これらの法には次ようなデメリットが考えられる。
■上記方法の問題点
・アクセス制限はパスワード入力が二度手間、パスワード流出の可能性もある
・どのマイミクさんが来たのかわからない。
・外部サイトをやめてmixiの中で公開するとデザインの自由度が無い
■mod_mixi_ssoの提案
上記問題点の解決策としてmixi以外のサイトで公開されているコンテンツをmixiで認証済みもしくはマイミクのみにアクセス許可できるようなApacneモジュールを提案する。このモジュールをここでは「mod_mixi_sso」と呼称することとする。また、外部サイトで行われるmixiのユーザIDとパスワードによる認証の事を「mixi認証」と記述する。
■mod_mixi_ssoによるmixi認証の流れ
・mixi認証で保護されたURIにアクセス
・mod_mixi_ssoがmixi認証用のCookieの有無を確認
・Cookieがあればコンテンツをレスポンスする。
・Cookieがなければmixi.jp内にあるmixi認証用のページへリダイレクト
・リダイレクトする際CGIの引数で認証保護されているURIを渡す
・mixi認証用専用ページでユーザIDとパスワードを入力
・認証保護されたURIのドメインとパスを値に持つmixi認証済みを示すCookieを発行
・偽造防止の為Cookieにmixi.jpのみが知りうるキーで暗号化されたデータを含める
・認証済みCookieの送信の際に一緒に元の認証保護されているURIへリダイレクトする。
・認証済みCookieを受信した外部サイトは暗号化データを復号し偽造でない事を確認
■イー・マーキュリーにとっての利点
・mixi.jpで閉じたサイトではなくmixiブランドを広く展開できる
・mixi認証を利用する外部サイトに広告を掲載できる
・単なるSNSサイトではなく認証インフラの地位が築ける
■ユーザにとっての利点
・mixiのデザインに制限されない自由なページを作成できる
・マイミクにしか公開されないコンテンツを作成できる
・access_logからどのマイミクがページを閲覧したか確認可能
■未解決項目
・広告掲載をしないと認証を利用できないようにできるのか。
・mixi認証済みを偽る事ができるか充分な検証が必要
・mod_mixi_ssoの開発スキルが私には無い
・ユーザニーズがあるか不明
以上。