マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

UserAgent?SPAスマホ)でOAuth2のTokenを取得するベスト・プラクティス
UserAgent?から、直接、Resource ServerのWebAPIにアクセスする)

詳細

SPA

SPA : Single-page application

Implicitが使用できる...が非推奨。

が、非推奨になってきたらしい。

Hybrid Flowでセキュリティが強化される。

Financial API (FAPI)も策定中。

Token Bindingの雲行きが怪しくなっているので、
PKCE+Fragment みたいな方式はアリかもしれない。

OAuth2.0 DPoP

PKCE 4 SPAでFA

Authorization Code Grant Flow with PKCEがSPAでのImplicit代替としてデファクト化。

スマホ

前提条件

Implicitは使用できない。

Hybrid Flowも使用できない。

OAuth PKCEを適切に利用する。

Financial API (FAPI)も策定中。

Implicitフロー非推奨

概要

と言う方法が、SPAにおける認証・認可の推奨になりつつある。

を参照のこと。

参考

参考

ベストプラクティス

AppAuth

OAuth 2.0 for Native Apps

OAuth 2.0 for Browser-Based Apps

Financial API (FAPI)

FAPI Part 1

S256のPKCE

FAPI Part 2

...未定...

OSSコンソーシアム


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS