マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

UserAgent?SPAスマホ)でOAuth2のTokenを取得するベスト・プラクティス
UserAgent?から、直接、Resource ServerのWebAPIにアクセスする)

詳細

SPA

SPA : Single Page Application

Implicitが使用できる...が非推奨。

が、非推奨になってきたらしい。

Hybrid Flowでセキュリティが強化される。

Financial API (FAPI)も策定中。

Token Bindingの雲行きが怪しくなっているので、PKCE+Fragment みたいな方式はアリかもしれない。

OAuth2.0 DPoP

スマホ

前提条件

Implicitは使用できない。

Hybrid Flowも使用できない。

OAuth PKCEを適切に利用する。

Financial API (FAPI)も策定中。

Implicitフロー非推奨

概要

CORSで、TokenエンドポイントにRequest可能になってきたので、

と言う方法が、SPAにおける認証・認可の推奨になりつつある。

参考

参考

ベストプラクティス

OAuth 2.0 for Native Apps

OAuth 2.0 for Browser-Based Apps

Financial API (FAPI)

FAPI Part 1

S256のPKCE

FAPI Part 2

...未定...

OSSコンソーシアム


Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS