Twitter系サービスのoauthで留意すべきこと
・アクセストークンの保持期間
Tweetviteみたくサーバー側で保持し続けて、クッキーにキーを長期間持たせると、コンシューマー側のサービスをユーザーに意識させずに呼ぶ可能性を作ってしまう。
ダメではないが、不必要に長くしない。必要なければアクセストークンは使い捨てる
・必要以上な権限要求
2種類しかないのはTwitter側の問題だが、ReadしかしないのにWriteまで要求しない
・誰にとっても同じURLにしない方が安全
tweetviteの問題は、誰にとっても同じURLで認証済みのアクセストークンで本人確認してるから、同じURLでYESが押せてしまった。
冗長だかURLにユーザーIDを含めてあれば、拡散しなかった。
