IETFでOAuthのWorking Groupの趣意書が固まったらしい。へぇえ

いまさら訊けない security

それが何を意味するか、自分にはよくわかってませんが(笑 bureaucraticな話なんでしょーか。OAuthの関与する分野からして、その手の話は避けて通れないから、重要なんでしょうか(汗 MLのフォローでは、セキュリティ関連の人にもナシをつける意味で重要だとかいう意見も見ました。

[oauth] OAuth Charter Finalizedによれば、
OAuthを構成するものの規定

* A mechanism for exchanging a user's credentials for a token-secret pair which can be used by a third party to access resources on their behalf.
* A mechanism for signing HTTP requests with the token-secret pair.

以下のような目標とmilestonesが設定されているみたい。

Apr 2009 Submit 'OAuth: HTTP Authorization Delegation Protocol' asworking group item
(draft-hammer-oauth will be used as a starting point for furtherwork.)
Jul 2009 Start of discussion about OAuth extensions the group should work on
Oct 2009 Start Working Group Last Call on 'OAuth: HTTP Authorization Delegation Protocol'
Nov 2009 Submit 'OAuth: HTTP Authorization Delegation Protocol' to the IESG for consideration as a Proposed Standard
Nov 2009 Prepare milestone update to start new work within the scope of the charter

文書の順序としては逆だけど、カバーするエリアはこんな感じらしい

* OAuth設定の発見(検索)の仕組:Discovery of OAuth configuration, e.g., http://oauth.net/discovery/1.0.
* 整合性:Comprehensive message integrity, e.g.,
  http://oauth.googlecode.com/svn/spec/ext/body_hash/1.0/drafts/1/spec.html.
* トークンの構造:Recommendations regarding the structure of the token.
* L18n:Localization, e.g.,
http://oauth.googlecode.com/svn/spec/ext/language_preference/1.0/drafts/2/sp
ec.html.
* セッションに関するトークンの定義:Session-oriented tokens, e.g.,
http://oauth.googlecode.com/svn/spec/ext/session/1.0/drafts/1/spec.html.
* Alternate token exchange profiles, e.g.,
draft-dehora-farrell-oauth-accesstoken-creds-00.