OAuth 2.0 for Browser-Based Apps のバックアップ(No.2) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
OAuth 2.0 for Browser-Based Apps へ行く。
- 1 (2019-07-18 (木) 12:03:18)
- 2 (2019-07-18 (木) 15:03:39)
- 3 (2019-07-18 (木) 17:40:43)
- 4 (2019-11-21 (木) 19:07:49)
- 5 (2019-12-03 (火) 16:39:12)
- 6 (2020-08-18 (火) 10:56:50)

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
- アーキテクチャ上の考慮事項
  - APIと同じドメインから提供されるアプリ
  - バックエンド・コンポーネントを持つSPA
Flow
- Authorization Code
- Refresh Token
参考
- AppAuth
- OAuth 2.0 for Native Apps

概要 †

ブラウザベースのアプリケーション（≒ SPA）を
開発するときのOAuth2, OIDCの考慮事項とベストプラクティス

Native AppにOAuth2, OIDCを実装する際の類似点が取り上げられている。
- client_secretを使用することはできない。
- OAuth2, OIDC仕様を超えたOAuth PKCE等の仕様を推進。

詳細 †

アーキテクチャ上の考慮事項 †

APIと同じドメインから提供されるアプリ †

Sessionを認証として使用してイイ（OAuth2, OIDC仕様は不要）。

Session認証には、可動部分が少なく、攻撃ベクトルが少ないという利点がある。
フェデレーション・アクセスが無いため、OAuth2, OIDCが最適なソリューションではない。

バックエンド・コンポーネントを持つSPA †

バックエンドコン・ポーネントは本質的に、ブラウザ内で実行されているコードの新しい認証サーバ
- 独自のtoken（たとえばSessionCookie?）を発行する可能性。

Tokenリクエストをバックエンド・コンポーネントから実行することを希望する可能性がある。
- 独自のClient Secretが発行されたConfidential Client

Flow †

フロントチャンネルにアクセストークンを返さない

Authorization Code †

OAuth 2.0 authorization code flow with the PKCE extension

stateを使用
Redirect URI完全一致を推奨

Refresh Token †

Authentication Serverは、SPAにRefresh Tokenを発行すべきではない。

参考 †

draft-parecki-oauth-browser-based-apps-01 - OAuth 2.0 for Browser-Based Apps
https://tools.ietf.org/html/draft-parecki-oauth-browser-based-apps

AppAuth †

OAuth 2.0 for Native Apps †

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth