「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth#t8e931a5]]

* 目次 [#y9d6248c]
#contents

*概要 [#u2d822fd]
-OAuth 2.0 の脅威モデルとセキュリティ考慮事項 (RFC 6819)
-OAuth 2.0 の実装にあたり、脅威モデルとセキュリティ考慮事項を列挙
-セクション4以降からの内容で、[[OAuth]] 2.0 の前提は飛ばしている。

*脅威モデル [#j97033f0]
**[[Role毎>OAuth 2.0 Threat Model (Role)]] [#j86c8ad5]

**[[Flow毎>OAuth 2.0 Threat Model (Flow)]] [#if4ee696]

**[[Access毎>OAuth 2.0 Threat Model (Access)]] [#if4ee696]

*セキュリティ考慮事項 [#j8507837]
**[[General>OAuth 2.0 Security Considerations (General)]] [#c355bcce]
**[[Role毎>OAuth 2.0 Security Considerations (Role)]] [#k88abe91]

*ざっくり [#x01ebfce]
**対策 [#we5285d7]
***実装面 [#b1d920b9]
-SSL/TLS(サーバ証明)を利用する。
-クライアント認証を行う。
-トークン類に低いエントロピーの値を使用しない。
-state、nonceを付与・検証する。

-正規のClientへ発行されたトークンの漏洩に注意。
--code(state):code置換攻撃が可能。
--access_token:access_tokenを利用可能。

-access_token([[JWT]])を検証する。
--署名検証
--クレームセットの検証
---iss(issは署名検証があるので偽装困難)
---aud(誰を対象に発行したか?)~
Clientだけでなく、Resource Serverでもaudによるクライアント検証を行う。
---sub(subをユーザに明示する)~
Resource Ownerへの明示と、~
Client、Resource Serverで認証済みリクエストで検証するなど。

***ユーザ [#u6071343]
ユーザの教育

-偽造サーバの識別
-組み込みブラウザに注意


**注意 [#e5ec5286]
***オープンリダイレクタ [#o43c7aa6]
-完全なredirect_uriの事前登録と検証
-スターターとアクセストークン・リクエストでのredirect_uriの要求

***パブリック・クライアント [#z5a20e1b]
悪意のあるクライアントが容易に登録可能。

***自動再認証、認可画面非表示 [#c55f9143]
-悪意のあるクライアントと組み合わさる。
-その際のscopeなど注意が必要。

*参考 [#o592275c]
-RFC 6819 - OAuth 2.0 Threat Model and Security Considerations~
https://tools.ietf.org/html/rfc6819

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS