マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

UserAgent?SPAスマホ)でOAuth2のTokenを取得するベスト・プラクティス
UserAgent?から、直接、Resource ServerのWebAPIにアクセスする)

詳細

SPA

SPA : Single-page application

Implicitが使用できる...が非推奨。

  • CORSで、TokenエンドポイントにRequest可能になってきたので、

と言う方法が、SPAにおける認証・認可の推奨になりつつある。

  • これにより「Private-Use URL Scheme上書き攻撃」などから保護される。
  • 入手したcodeはClientのServer側にポストしてアクセストークン・リクエストする。
    ※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

を参照のこと。

Hybrid Flowでセキュリティが強化。

  • codeやtokenのscope(認可された権限)を変える。
    Financial API (FAPI)では、token:参照系、code:更新系などとなっている。
  • 入手したcodeはClientのServer側にポストして使用する。
    ※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。
  • 問題は、マイナーで、プロファイルがあまり明確ではないこと。

Financial API (FAPI)も策定中。

Token Bindingの雲行きが怪しくなっているので、
PKCE+Fragment みたいな方式はアリかもしれない。

OAuth2.0 DPoP(ドラフト)

  • SPAをターゲットとして仕様が作成されている。
  • 名前の通り、アプリケーション・レイヤで、記名式切符を発行することができる。
  • これにより、SPAから直接Tokenエンドポイントにリクエストすることができる。

PKCE 4 SPAでFA(現時点で)

Authorization Code Grant Flow with PKCEがSPAでのImplicit代替としてデファクト化。

Token保存先の問題

スマホ

前提条件

  • codeとtokenが、「Private-Use URL Scheme上書き攻撃」などから保護されない可能性がある。

Implicitは使用できない。

Hybrid Flowも使用できない。

OAuth PKCEを適切に利用する。

Financial API (FAPI)も策定中。

参考

ベストプラクティス

AppAuth

OAuth 2.0 for Native Apps

OAuth 2.0 for Browser-Based Apps

Financial API (FAPI)

FAPI Part 1

S256のPKCE

FAPI Part 2

OSSコンソーシアム

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth
添付ファイル: filePKCE Flow.jpg 300件 [詳細]
トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2021-10-03 (日) 18:06:56 (105d)