Authentication/Identity for Mashups

マイミクマップ というアプリケーションがあります。

mixi に登録している自分の友達の出身地あるいは現在地を調べて Google Maps でプロットするという、典型的な Web 2.0 的アプリ。mixi のデータと Google Maps API の remix (Mashup) であり、とってきたデータを視覚的に見せる (Data Visualization) と、Web 2.0 の王道をいっている感じでグッジョブ！といいたいところなのですが、ひとつ決定的に残念なのが、

パスワードやメールアドレスを入力することに不安がある方は、一旦メールアドレス、パスワードを変更してからご利用いただき

とあるように mixi のIDとパスワードを渡してログインさせてスクリーンスクレイプしてデータをとってきているところ。これは mixi が Web API を提供していない（し、公開にも積極的でないように見える）からどうしようもないわけですが、なんとも気が抜けてしまいます。(*1)

同じように、 API 経由で認証した機能を利用できる Flickr をみてみると、きちんとサードパーティのアプリケーションからユーザ認証を利用する API が公開されています。「Flickr 側にトークンを投げて、ユーザが ID/PW を Flickr に渡すと、認証結果をトークンとともに返す」、という仕組みで、サードパーティが ID/PW を知ることなく認証後の機能を利用することができるわけ。

こうした認証の仕組みは Flickr 固有というわけではなくて、TypeKey やそれを拡張した Bitcard (auth.perl.org のバックエンドで動いている Single Sign On システム。API も公開） でも同じようなしくみでサードパーティが生の ID/PW を知ることなく認証機能を利用できます。

翻って今日リリースされた はてなリング を見てみたんですが、これも Authentication/Identity にはカジュアルな様子。適当なリングに URL を偽って登録したら普通に通ってしまいました。

これを声高にセキュリティホールだ、というつもりもないですが、ここまでインフラが整っているのにカンタンに登録できちゃうのはどうなのかなぁと。勉強会 をやっているぐらいだからすぐに気づくと思いますが、OpenID はまさにこの用途のためにあるようなものだし、まだ OpenID は導入が難しい、というんであれば Technorati Claim みたいな形でもいいと思うし。

って、よく考えたら、はてなはすでに はてな外の Web ページにアカウントを Claim する仕組み を持ってましたね。なんでこれで認証しなかったんだろう？

まぁ、こうして改善点を指摘されるのも 50% ルール / NDO メソッドなのかもしれませんがｗ

いずれにせよ Web 2.0 / remix / Mashup なテクノロジーにおいては データのオープン性 と同様、そのデータを外部のサービスとどう remix するかにおいて、Authentication/Identity の果たす役割は大きいんじゃないかなぁ、と思ったりしました。

*1) ちなみにこういう部分で mixi を出し抜けるチャンスがありそうな L社は WWW::Livedoor というスクレイピングモジュールを出していて別の意味で面白い。中の人の意向ではない みたいですが。そういえば、Livedoor Blog のコメント認証は TypeKey 互換でしたよねぇ。。