Twitterアプリ連携のアクセス権(権限)と許可する時の注意点


Warning: Use of undefined constant user_level - assumed 'user_level' (this will throw an Error in a future version of PHP) in /home/mildleaf/www/alc/wp-content/plugins/ultimate-google-analytics/ultimate_ga.php on line 524

Warning: Use of undefined constant user_level - assumed 'user_level' (this will throw an Error in a future version of PHP) in /home/mildleaf/www/alc/wp-content/plugins/ultimate-google-analytics/ultimate_ga.php on line 524

Twitterのアプリ連携に関する情報をまとめておきます。
※アプリ連携は、サードパーティ製(Twitter社以外が提供する)Twitterクライアント、Twitterと連動したサービス、Twitterでログイン、等でよく利用されています。

■アプリのアクセス権(権限)について
「Twitterでログイン」等のリンクをクリックした時、次の様なページが表示されるかと思います。

Twitterアプリ連携認証許可ページ(読取専用)
Twitterアプリ連携認証許可ページ(読取専用)
Twitterアプリ連携認証許可ページ(読み書きDM)
Twitterアプリ連携認証許可ページ(読み書きDM)

これがアプリ連携の認証許可ページです。一つ目の画像が「読取専用(のページ全体)」、二つ目の画像が「読み書き及びDM(のページ左側部分のみ)」です。
このページには

  • 誰が(どの会社・組織・個人)が作ったアプリか(赤枠の部分)
  • アプリ(サイト)の説明とURL(青枠の部分)
  • このアプリ連携の認証では、何を許可するのか(緑枠部分)、許可しないのか(茶枠部分)

が書かれています。
緑色部分が多い程、許可する権限が多いということになります。(逆に茶色部分が多いほど、許可する権限は少なくなります。)

Twitterアプリ連携のアクセス権(許可する・しない)は、以下の3種類が存在します。

  1. 読取専用(Read only)
  2. 読み書き(Read and Write)
  3. 読み、書き、及びダイレクトメッセージ(Read, Write and Access direct messages)

各アクセス権で行えることをまとめた表は以下の通りとなります。

行えること / アクセス権 1)読取専用 2)読み書き 3)読み書き及びDM
ツイートを見る o o o
フォローしている人を見る o o o
新しくフォローする x o o
プロフィールを更新する x o o
ツイートする x o o
ダイレクトメッセージを見る x x o
Twitterのパスワードを見る x x x

各アクセス権を大雑把に説明すると以下の様なものとなります。

  1. 読取専用
    一番安全なアクセス権。
    アプリ連携を許可しても、ツイートやDM、新規フォローを「勝手に」されることはありません(出来ません)。
    サイト・アプリ制作者側としては、ログイン(認証)だけをTwitterに代わりにやって欲しい場合には、この権限が適していると思います。

  2. 読み書き
    DM送受信以外は行うことができるアクセス権。
    アプリ連携を許可し、もし悪用されてしまうと、勝手にツイートする、勝手に知らない人をフォローするといった被害にあう可能性があります。
    アプリ・サイトで何かを行って、その結果を自動的にツイートするサービスで利用されることが多いです。

  3. 読み、書き、及びダイレクトメッセージ
    一番出来ることが多い権限。
    サードパーティ製(Twitter社以外が提供する)Twitterクライアント用として使われることが多いです。(クライアントは、ツイート、新規フォロー、DMの送受信も出来ないと駄目な為)
    当然、アプリ連携を許可し、悪用されてしまった場合の被害も大きくなるので、このアクセス権が設定されている場合は、アプリ連携の許可を慎重にしましょう。

ただし、一番権限が大きいアクセス権でも「Twitterのパスワードを勝手に見られる・変えられる」ことはありません。(悪用されれば)勝手にツイートされたりする可能性はあるものの、完全に乗っ取られる訳ではないということです。

なお、アプリ連携はユーザ側がいつでも自由に「解除」することができます。
勝手につぶやかれたり、勝手にフォローが増えてる場合には、知らないアプリとアプリ連携していないかを調べ、解除することをおすすめします。

[参考]アプリ連携解除の方法・手順(当ブログの過去記事です)
Twitterのアプリ連携で覚えのないアプリと連携していないか確認・解除する方法

大切なのは、各アプリ連携のアクセス権の説明をしっかり読んだ上で、納得したら「アプリ連携を認証」、納得できなかった・信頼出来なかったら「キャンセル」する事かと思います。

また、もし勝手につぶやかれる様なことが発生した場合は、慌てずTwitterの設定「アプリ連携」ページを確認して、怪しい・見覚えの無いアプリがもしあったら「許可を取り消す」を押してアプリ連携を解除しましょう。

[参考]Twitterヘルプページ内のアプリ連携の説明ページ
サードパーティーアプリケーションとの連携を設定する/取り消す