UserAgentでOAuth2のTokenを取得するベスト・プラクティス - マイクロソフト系技術情報 Wiki

[ トップ ] [ 編集 | 凍結 | 差分 | バックアップ | 添付 | リロード ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

最新の70件

2019-08-17

暗号化アルゴリズム

2019-08-13

2019-08-08

2019-08-07

2019-08-06

グループポリシー設定リスト

2019-08-02

2019-07-26

2019-07-25

VB6の保守

2019-07-19

2019-07-18

OAuth 2.0 for Browser-Based Apps
OAuth 2.0 for Native Apps
OAuth 2.0 Security Best Current Practice
UserAgentでOAuth2のTokenを取得するベスト・プラクティス
OAuth PKCE
OAuth 2.0 セキュリティ関連トピック

2019-07-17

Oracle11gXE + ODP.NET Managed Driver

2019-07-14

SQL Server の障害復旧

2019-07-12

イベント・ログ

2019-07-11

ASP.NET でSessionCookie、Cookie認証Ticketを共有する方法

2019-07-10

2019-07-09

CSRF(XSRF)対策の実装方針

2019-07-08

CSharp for Visual Studio Code

2019-07-07

ワンタイム・パスワード

2019-07-04

2019-06-28

2019-06-26

JWT Secured Authorization Response Mode for OAuth 2.0 (JARM)

2019-06-25

OAuth 2.0 Form Post Response Mode

2019-06-24

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

概要 †

UserAgent?（SPAやスマホ）でOAuth2のTokenを取得するベスト・プラクティス
（UserAgent?から、直接、Resource ServerのWebAPIにアクセスする）

詳細 †

SPA †

SPA : Single Page Application

Implicitが使用できる...が非推奨。 †

Implicitグラント種別

Implicit Flow

が、非推奨になってきたらしい。

Hybrid Flowでセキュリティが強化される。 †

codeやtokenのscope（認可された権限）を変える。
※ Financial API (FAPI)では、token：参照系、code：更新系などとなっている。

入手したcodeはClientのServer側にポストして使用する。
※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

Financial API (FAPI)も策定中。 †

Token Bindingの雲行きが怪しくなっているので、PKCE＋Fragment みたいな方式はアリかもしれない。

OAuth2.0 DPoP †

SPAをターゲットとして仕様が作成されている。
名前の通り、アプリケーション・レイヤで、記名式切符を発行することができる。
これにより、SPAから直接Tokenエンドポイントにリクエストすることができる。

スマホ †

前提条件 †

（セキュリティ的懸念から）認可リクエストを、外部Webブラウザを経由してのみ行う。
プラットフォームによっては、外部Webブラウザ相当のUXを向上させる仕組みが用意されている。

codeとtokenが、「Private-Use URL Scheme上書き攻撃」などから保護されない可能性がある。

Implicitは使用できない。 †

Implicitグラント種別

Implicit Flow

Hybrid Flowも使用できない。 †

OAuth PKCEを適切に利用する。 †

Financial API (FAPI)も策定中。 †

Implicitフロー非推奨 †

概要 †

CORSで、TokenエンドポイントにRequest可能になってきたので、

OAuth PKCEを使用して、Public Client でも sender constrainedなcodeを発行。
Fragment(response_mode=fragment) で、codeをフラグメントに乗せる。

と言う方法が、SPAにおける認証・認可の推奨になりつつある。

参考 †

OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife
https://ritou.hatenablog.com/entry/2018/11/12/110613
- Why you should stop using the OAuth implicit grant!
  https://medium.com/oauth-2/why-you-should-stop-using-the-oauth-implicit-grant-2436ced1c926
- OAuth 2.0 Security Best Current Practice
- OAuth 2.0 for Browser-Based Apps

これにより「Private-Use URL Scheme上書き攻撃」などから保護される。

入手したcodeはClientのServer側にポストしてアクセストークン・リクエストする。
※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

参考 †

ベストプラクティス †

OAuth 2.0 for Native Apps †

OAuth 2.0 for Browser-Based Apps †

Financial API (FAPI) †

金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。
現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。
- F-API 1 / 2 共に、Confidential Client / Public Clientのプロファイルを持っている。
- このうち、スマホ / SPA、は、Public Clientのプロファイルを適用する。

FAPI Part 1 †

FAPI Part 2 †

...未定...

OSSコンソーシアム †

UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
https://www.osscons.jp/joavafb1i-537/#_537

Single Sign-On user experience with OAuth PKCE by Open棟梁 and Cordova.
https://www.osscons.jp/jobgbko8n-537/#_537

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

添付ファイル:

PKCE Flow.jpg 152件 [詳細]

Last-modified: 2019-07-18 (木) 14:33:18 (30d)