About Flickr Twitter Beta

Info for setting up your Flickr Twitter

Step 1: www.flickr.com/account/blogs/add/twitter

You'll need to authorize your account. Click on the "Head over to Twitter now" link.

Step 2: Click on the "Allow" link.

Step 3: You'll be redirected back to Flickr. Open up your address book on your mobile device and add your unique email+Twitter address. (This is just your existing upload by email address with "2twitter" added.)

Step 4: Have at it. When you upload via email, the subject line will be taken as your Twitter tweet, and a special Flickr-y short URL to the photo will be appended.

Here's an example from Kellan's Twitter account of what a post looks like:

twitter.com/kellan/status/2062931580

Please note: Because we add the Flickr URL, you should be thinking in 116 characters.

Step 5: Feedback, baby! We wants it.

Please note that as we're in Beta, we've yet to create FAQs, inclusion on your Account page and "Blog this" may be a little kludgy, is available in English only (until launch).

1. 認証して"Head over to Twitter now"
2. "Allow"
3. Flickrにもどってアドレスを入れる.
4. 以上。

flickr.auth.getFrob

Returns a frob to be used during authentication. This method call must be signed.

認証の過程でfrobを返します。署名して呼び出してください。

そこで、Flickr APIでは「サービスとFlickrしか知らない任意の秘密文字列(shared secret)」を用意している模様。サービスは、flobと同時に「署名(api_sig)」(shared secretをflobなどと一緒にハッシュ化したもの)をFlickrに投げる。Flickrはapi_sigの生成手順を再現してリクエストの正当性を検証する。仮にflobが漏れてもshared secretが分からなければapi_sigを生成できないためリクエストの横取りはできない。

このshared secretは各サーバがハッシュ化に使うだけ。つまり通常はネットワーク上を流れず漏れる心配はない。flob値があちこち飛び回るのに対し、api_sigはサービスがFlickrへ直接一回投げるだけなので傍受自体困難である(ユーザークライアントのバグを突くようなトラップが効かない)。仮に傍受ができたとしても、偽リクエストを送る頃には既にapi_sigに対応するflobがexpireしている(api_sigはflobがexpireされるタイミングでFlickrに送られるため)。

この認証ハンドラへリダイレクトしてくる時に、URL には自動的に「?frob=....」と frob という値が付いてきます。この frob は次の API を呼び出すために必要な値で、Flickr 側が自動で発行してくれるものです。で、認証ハンドラからディスパッチされるロジックでは、

• URL パラメータから frob の値を取得。
• Flickr の API (flickr.auth.getToken) を XML over HTTP で呼び出す。このとき URL パラメータとして frob を指定。
• API の戻りの XML にユーザー名などの情報が入ってるのでそれを parse して値を取得。

ということをします。API の戻りとしての XML には

Flickr Authentication API
Web Applications How-To

This is a simple step-by-step guide to creating a web-based application using the Flickr Authentication API. A full spec of the API can be found here. See also: desktop how-to, mobile how-to.

1. API キーを取得。
2. キーの設定。
3. ログインリンク作成。
4. 認証ハンドラ作成。
5. FROBをトークンに変更。
6. 認証呼び出し。

”””
先ほどの例では、メソッドの呼び出し時に api_sig というパラメータを渡している。これは、偽のサービスが勝手に Flickr の API を呼び出せないようにするために使われる。
”””

いちばん簡単な方法

Flickr API では、ユーザの ID とパスワードを使って Flickr API にアクセスすることができる。 たとえば、ユーザのお気に入り (Favorites) 写真の一覧を得る flickr.favorites.getList を使うには、以下の URL にアクセスすればいい。 ID (email) とパスワードは URL の一部として埋め込む。

http://flickr.com/services/rest/?method=flickr.favorites.getList&api_key=API_KEY&email=user@example.com&password=PASSWORD

「API_KEY」には上記で取得した API Key が、「PASSWORD」にはそのユーザのパスワードが入る。 他の API も同じような方法で使うことができる。

この方法はシンプルで分かりやすいけど、実はあまり良い方法じゃない。 API を使うサービスが、ユーザの ID とパスワードを知ることになるから、サービス側が悪意を持てばアカウントを乗っ取ったり、ユーザの写真を全部消したりできちゃう。 それに、ID とパスワードが URL に 入っているから、 Web サーバのアクセスログにも残っちゃう。

APIを通して写真をアップロードしたり、あるユーザのプライベート設定された写真を扱ったりするためには、ユーザの認証を得てTokenを得なければならない。
TokenはFlickrアプリ(api_key)とユーザ(user_id)の組み合わせにつき1つ発行される内緒の文字列。
このTokenをつかってAPIを叩くといろいろ出来るようになる。