はじめに

ここ数日で話題になっているTwitter連携アプリに「日頃の行いおみくじ」がありますが、「日頃の行いおみくじはスパムだ！」というツイートが拡散されまくって悲しい感じになっています。
ウェブ研でもTwitter連携アプリを作成していますし、あらぬ誤解をうけるアプリケーションが減ればいいな（ついでに宣伝もできればいいな）と思い、ユーザ向けに、OAuthを利用したコラボアプリのものすごくざっくりとした解説記事を書いてみました。
次のような構成になっています。
・OAtuhのものすごくざっくりとした説明
・Twitter連携アプリ固有の話
・ユーザはどうしたらいいか
※随所にウェブ研の宣伝が散りばめられてます

お、OAuth…？

Twitterアカウントでログイン、FacebookアカウントでログインといったことができるアプリケーションではOAuthという規約が使われています。
OAuthでは３人の登場人物がいます。

1. 大元のサービス（TwitterやFacebook等）
2. 連携アプリケーション（今日のスタンドã‚„チョイQã‚„即興小説トレーニング等）
3. ユーザ

ものすごくざっくりと言うと、いわゆるOAuth認証では
「ユーザの同意のもと、ユーザが許可している間、大元のサービスでの一部の『何かをできる権限』を連携アプリケーションに渡す」
という事（認可）が行われています。これを安全に行うための工夫がなされていますがここでは省きます。
渡しているのは「何かをできる権限」であって「大元のサービスのパスワード」ではないので連携アプリケーションはパスワードを知りませんし、何でもできるわけではありません。
しかし、その気になれば「何かをできる権限」の範囲内では何でもできるということになります。

Twitter連携アプリケーションの場合

Twitter連携アプリ作成のためにTwitterが提供してるTwitter APIの場合、
「何かをできる権限」が段階的な３種類しか用意されてません

1. 読み込みのみ
2. 読み込みと書き込み（DM含まず）
3. 読み込みと書き込み（DMを含む）

Twitterのデベロッパーサイト

実際に行えること、連携アプリの認証画面は
１．読み込みのみ
タイムライン、リスト、ユーザのプロフィール、フォローしてる人、フォロワー、ブロックしてる人を見る等

２．読み込みと書き込み（DM含まず）
１に加えてツイートの投稿、削除、リストの作成、削除、リストへのユーザの追加、削除、フォロー、フォロー解除、ブロック、ブロック解除、プロフィール変更等

３．読み込みと書き込み（DMを含む）
２に加えてダイレクトメッセージの閲覧、送信、削除

となります。
このように多くの権限がセットになっているため、Twitter連携アプリケーションは必要以上の権限を委譲してもらわざるをえない状況にあります。

ちなみに、いままでのTwitter API v1.0では「今日の一文字」のように読み込みの一部は認証しなくても使えますが、今年2013年の3月5日からは完全にTwitter API v1.1に移行し、ツイート情報を使うアプリでは全て認証が必要になります。認証なしでも使えるのは「桶屋」のように、ツイート情報を使わないで、ツイートはTwitterを使って行う、といったものになります。

ユーザはどうしたら？