Wishlistは、ユーザが欲しい物をリストにしておき、他の人に買ってもらう仕組みです。 購入者と配送先が異なるという特徴があります。
商品を購入する人。
商品を贈ってもらう人。
ケース1と同じ。
対象者 の永続的トークン発行権を持つ
ケース1と同じ。
Wishlistのケースでは、購入者と配送先が違うので、自動的にトークンが発行される仕組み が必要です。
そのため、 Wishlistを作る 対象者 は ECサイト に対し、永続的な住所トークン発行権を認可する必要があります。
対象者はECサイトにアカウントを登録します。対象者はWishlistを作成します。ECサイトは対象者にOAuth画面を提示し、永続的な 住所トークン発行権を認可してもらいます。購入者は対象者のWhishlistから商品を購入します。ECサイトは対象者の住所トークン発行権を使い、トークンを生成します。- 以降のフローは通常とおなじです。
この方式だと、ECサイトは住所トークンを発行し放題なので、攻撃により不正にトークンが生成される可能性があります。 そのため、本物の住所トークン を不正に取得しても、実際には利用できないようにする必要があります。 例えば、住所トークンには 発行者 を記録しておき、発行者と配送依頼者が同一でない場合、 実住所の取得が失敗するようにします。
ただし、ECサイト自身が不正にトークンを利用し、例えば送りつけ詐欺などをすることを防ぐことはできません。