IESG(Internet Engineering Steering Group:インターネット技術標準化運営委員会)は4月21日、Webアプリケーション用の認証プロトコル「OAuth 1.0」をRFC 5849(情報提供)として承認した。
OAuthプロトコルは、Webアプリケーションに格納されたデータを、IDとパスワードなど、オーナーの認証情報を取得することなく、代理で別のWebアプリケーションがアクセスするときに使われている。Twitterのユーザー固有のデータを、サードパーティ製のアプリケーションで利用できるのもOAuthプロトコルのおかげだ。
元々OAuthプロトコルを作り出したWeb開発者たちは、さまざまなWebサイトやWebサービスを取り扱うなかで、非公開のリソースをその所有者に代わって利用したいという共通の課題に直面していた。こうしてOAuthプロトコルバージョン1.0は2007年10月に取りまとめられ、さらに2009年6月にはバージョン1.0リビジョンAとして改訂された。
今回RFC 5849として公開された「OAuth Core 1.0 Revision A」は情報提供のみを目的としており、OAuth 1.0aの公開後に判明したいくつかの正誤情報や不明確な仕様を明らかにしている。RFC 5849は、IETF(Internet Engineering Task Force:インターネット技術標準化委員会)のOAuth作業部会の報告文書ではないが、現在、同作業部会では標準化に向けての作業が進んでいる最中だ。
RFC化といっても現段階では情報提供のみで、標準化プロセスに入ったわけではなく、OAuthプロトコルの仕様などにも変更はない。しかし、今後はIETFでのオープンな議論によってプロトコルが更新され、やがてインターネットの標準プロトコルとして使われるようになる。なお、RFC 5849は「cloud computing」という言葉が入った、初めてのRFC文書である。
