マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
UserAgent?から、直接、Resource ServerのWebAPIにアクセスする)

詳細

SPA

SPA : Single Page Application

Implicitが使用できる。

Hybridでセキュリティが強化される。

Financial API (FAPI)も策定中。

スマホ

前提条件

Implicitは使用できない。

Hybridも使用できない。

OAuth PKCEを適切に利用する。

response_typeにcodeやtokenを利用できる可能性。

Financial API (FAPI)も策定中。

Financial API (FAPI)

参考

仕様

スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps)

認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE)

OAuth PKCE利用時の構成図

スマホのOAuth PKCE認証フローは複雑で忘れ易く、
開発環境の構築時も「どうするんだっけ?」と一苦労するのでメモ。

  1. OAuth PKCEの認可リクエスト ~ 認可レスポンスで、Client(UserAgent?)はcodeを入手
  2. codeをClient(Server)にpostしてアクセストークン・リクエスト(PKCE
  3. Client(UserAgent?)は、Client(Server)経由でaccess_tokenを受け取り、Resource Serverにリソースをリクエスト
OAuth PKCE利用時の構成図

Tags: :認証基盤, :クレームベース認証, :OAuth


トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS