mixiアプリ オーナーIDを利用する際の注意点

こんにちは！
akahoshiです。

今日はオーナーID(ユーザーID)を利用するアプリを作成する際の注意点を書きたいと思います。

オーナーIDを利用するアプリとは？

ユーザーが入力したデータをそのユーザーのIDと紐付けるアプリのことです。

例えば、「マイミク市場」とかは自分が買ったマイミクの情報とか送ったギフトの履歴とかのデータをそのユーザーのID別に登録されていきます。ここで言うオーナーIDを利用したアプリになりますね。

インストールしなくてもアクセスできるcanvasページ

canvasページは実はアプリをインストールしなくても見ることができます。
例えばアプリのURLに

owner_id=123456789

というようなパラメータをつけるとそのIDの人としてアクセスできてしまいます。

なりすましができてしまう問題点

そうなるとオーナーIDを利用したアプリではなりすましができてしまいます。別の人になりすましてデータを追加したり、削除したりできてしまうのですね。

先日mixiに行った時にこのことも話したのですが実は仕様のようで、アプリをインストールしていなくても見れた方がいいんじゃない？という流れになっていたようです（今後変更されるかもしれませんが）。ちなみにMyspaceやFacebookはインストールしていないとアプリは見ることはできませんので「インストールしてください」というような表示がされアプリインストール画面に誘導されます。

こういう元で作っていたので今回の注意点に気がついた訳ですね。

OWNER_IDじゃなくてVIEWER_IDを使おう

上でも書いたように一応現在は仕様のようですので今後変わらないかもしれません。ですので、オーナーIDを利用したアプリを作成する場合はオーナーIDを取得する場合はVIEWER_IDを利用するといいかもしれません。

具体的にはこんな感じですかね。

function loadOwner() {
  var req = opensocial.newDataRequest();
  req.add(req.newFetchPersonRequest("VIEWER"), 'viewer');
  req.send(onLoadOwner);
}

function onLoadOwner(data) {
  var viewer = data.get('viewer').getData();
  if(!viewer){
  document.write('インストールしてね！');
  }else{
  var name = viewer.getDisplayName();
  }
}

viewerのデータを取得する場合、そのアプリをインストールしていないとデータを取得できませんので今見ている人（viewer）がインストール済みか否か判別することができます。ということでviewerのデータがない場合は「インストールしてね！」みたいな感じでインストールを誘導すると親切かもしれませんね。