年の初めにtwitter連携アプリの認証レベルを確認してみた

年の初めに、何故かtwitter連携アプリの認証レベルについて騒がれていたので、自分自身復習も兼ねて確認してみました。
ここでは、twitterの認証で一般的に使われる「OAuth認証」について書かせていただきます。

改めて復習してみると、現在では認証レベルは3つしかないようです。

Read
(アクセス権 読取専用)

Read & Write
(アクセス権 読み書き)

Read, Write, & Private Message
(アクセス権 読み、書き、及びダイレクトメッセージ)

以前はOAuth認証すると、DMまで開発者が読めてしまう仕様だったようです。
しかし、DMが見れる権限まで必要ない開発者側としては、逆に利用者に敬遠されるとの要望もあってか、今(2013年1月2日)の段階では上記の権限レベルになっているようです。

ちなみに、今までtwitter連携アプリに許可してきたアクセス権は、下記の「アプリ連携」という所から確認できます。

https://twitter.com/settings/applications

アプリ名と開発者、アクセス権が書かれているので確認してみましょう。

自分も見てみましたが、Twitter, Inc.が提供している「Twitter for Android」はさすがに「アクセス権 読み、書き、及びダイレクトメッセージ」になっていました。
自分のつぶやきをログとして残すだけのサービスの場合は「アクセス権 読取専用」でしたね。その他は必要ないですし。
他には、つぶやきを許可するアプリの場合はほとんどが「アクセス権 読み書き」となっていました。自分の場合は大体この認証レベルが多かったです。

みなさんもtwitter連携アプリでOAuth認証を行う場合、ほとんどこの画面を見る事が多いのではなかろうかと思います。

twitter連携アプリのOAuth認証画面

下の方にもあるように、パスワードを見られる物はないので乗っ取られる事はまず無いですし、勝手につぶやかれても困らないのであれば認証しても良いと思います。
ちなみにプロフィールを更新する権限もあるので自分は気をつけています。まぁ何かあったら戻せばいい訳ですが…

以前、とあるキャンペーンでOAuth認証すると片想いフォローを勝手にリムーブするというサービスがあって炎上してました(事前に動作の説明が無かった事が原因ではありました)が、そういった事もできるという事は、念のため把握しておきましょう。
一般的なtwitter連携アプリの場合は、そのサービスの機能として必要でない限りは、せいぜいツイートの内容やフォロー・フォロワーを確認して自動でつぶやかせる機能を使う位だと思います。他の機能を使う権限があるにしても。
ただ、開発者は良く確認して認証した方が良いのは確かですね。

twitterにおける認証でOAuth認証の他には、idとパスワードで認証させるBasic認証は今ではさすがに無くしたようですが、パスワードを渡すxAuth認証というものがあります。
開発者側もTwitter社の許可がおりないと使えないらしいですし、サービスに必要な権限であるのなら、あとは開発者をきちんと確認して、認証させるかさせないかを自分自身が判断する事が必要だと思います。

twitter連携アプリを認証させる場合は、自分自身きちんと確認して納得した上で認証させましょうね。

それでは、今年も安全にtwitterを使っていきましょう。

参考ページ
TwitterがOAuth認証してもダイレクトメッセージを取らなくなりました
TwitterでOAuth認証するアプリケーションのアクセスレベルに「DMへのアクセス権限」が追加された
Twitterによる簡易版OAuth: “xAuth” 
意外に簡単なTwitterのxAuth認証の申請方法


コメントは受け付けていません。