一般の開発者アカウントでもTwitterAPIで認証ユーザのメールアドレスを取得出来るようになった”かもしれない”。

“かもしれない”ってのは、実際には試していないから。(試していない理由は後述。)

ユーザのEmailアドレスのリクエスト・・・?

先日、Twitterのサードパーティ開発者用のアプリ設定ページのアプリケーションパーミッション設定のところで、ちょっと驚く文言を見つけた。
もしかしたらもっと前からあったのかもしれないけれど、少なくとも自分が気づいたのはつい先日。

驚いたのは「Additional Permissions」以下の部分。

意訳すると・・・。

これらの追加のアクセス権を設定するためにはプライバシーポリシー・利用規約のURLを設定画面から設定してね。

These」となっている事と、チェックボックス形式になっている事から、今後追加される可能性もあるのけれど、とりあえず現時点では、チェックボックスの項目として

Request email addresses from users

ユーザのEmailアドレスのリクエスト。
「え〜…?」って感じだった。

とりあえずドキュメントをチェックしてみると…。
verify_credentials のページに以下のような記述。

意訳すると…。

アプリケーションのパーミッション設定のチェックボックスからメールアドレスのリクエストを有効化できるよ。
Emailアドレスへのアクセスを可能にするためには、利用規約のURLとプライバシーポリシーのURLを設定しないといけないよ。
有効にするとEmailへのリクエストが可能となる事が認証画面で表示されるよ。

といった感じ。あくまで意訳。
Noteの部分で、すでにアプリを認証済みのユーザでも再認証してトークンを再生成する必要があるといった趣旨の事が補足されてるけれど、要求権限が変わるのだから割と当然。

で、include_email というオプションが追加されているらしい。(だいぶまえ、TwitterAPIに触ろうと考えた時に、一通り目を通した気がするけれど、なかった気するし。もう何年も前の話だけれど。)
確認済みのメールアドレスが設定されている場合にユーザがTwitterに登録しているメールアドレスが取得出来る模様。

で…。
ドキュメントと設定画面みる限りでは、プライバシーポリシーと利用規約のURLを設定して、更に追加のパーミッション設定のチェックボックスを有効にするだけでなんかメールアドレスの取得いけそうな気がする。

なので、「それこそ一般の開発者アカウントでも認証ユーザのメールアドレス取得出来るようになっちゃったの!?」というドキュメントと設定画面をみての感想。

なぜ、実際に試さないのかというと。

利用規約・プライバシーポリシーに関しては設定済みのアプリケーションがあるのだけれど、流石に実際に公開しているアプリで「メールアドレスの取得オプション」なんて有効化して試す気にはならないし、プラポリ・規約のURLに関しては以前設定した際に即時連携画面に反映された気がするので、おそらくそれらの設定のチェックなんて入って無い気がするのだけれど、テスト用アプリにダミーのプラポリページ・規約をURLを設定してまで・・・ってのは何かやりづらい。(Twitter連携サービスを運営している関係で万一にでもTwitterには嫌われたく無い。)

え?まじで?って感じ。

以下、実際に試したわけでもないので、可能性の話をする。
パッと見た感じ、審査等は無いようなので、一般の開発者アカウントでもユーザのメールアドレスが取得出来る可能性があるという点。
そのメールアドレスは、Twitterによって有効性の確認がとれた「生きたメールアドレス」。

いやー。あのね。
Facebook等ならまだましとして…。
ツイートから直接連携画面に飛ぶような連携アプリをほいほいと鼻くそほじるようなノリで連携して「スパムだあ!」なんて大騒ぎしちゃう感じのユーザが大量にいるTwitterでそんな簡単にサードパーティの開発者にメールアドレスの取得権限与えちゃっていいの?

という感想。

ちなみに、アプリケーションの連携画面の「このアプリケーションは次のことができます。/できません」みたいなところに…。

「登録済みのメールアドレスを取得する。」の項目が追加されてるので、メールアドレスを要求する場合「できます」のところに「登録済みのメールアドレスを取得する。」が表示されるんじゃないかなーと予想。(繰り返すけれど試してないので。

 

ってか、ここまで書いたのはいいけれど、自分がつい先日気づいたというだけで、他の開発者の方にとってはすでに周知の事実で利用している方もいたりするのかなー…とかおもったりして。
ただまあ、ソーシャル認証って、何かしらの理由でソーシャルアカウントが利用出来なくなった場合の「本人証明」がネックになるし、本人証明のためにユーザのメールアドレスくらいは別途とっておく必要がある事を考えると、すでに確認済みのメールアドレスを取得出来るようになったというのは、真っ当なソーシャル認証系のサービスを提供する場合なら手軽で便利なのだろうね・・・。(TwitterAPIでは以前まではメールアドレス取得出来なかったはずだし。それがどのくらい「以前」なのかは不明だけれど。)

 

とりあえず、メールアドレスが取得出来るのであれば、「ユーザはアプリ連携にもうちょい慎重になった方が良いかもね〜」とか思う。

Leave a Reply

Your email address will not be published.