「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
OAuth 1.0とOAuth 2.0にページを分割しました。
変遷 †
- OpenIDを使ってTwitterやMa.gnoliaのAPIの認証委譲する方法を議論を開始。
- 2007/10
OAuth Core 1.0 の最終草案がリリース。
- 2008/11
第73回のIETF会合でOAuthの非公式会合も開かれ、
IETFにOAuthプロトコルを提案するかどうかを議論。
- 2009/4/23
OAuth 1.0のセキュリティ問題が判明。
この問題は、OAuth 1.0aで修正された。
- OAuth 1.0とは後方互換性を持たない。
- 次世代のOAuthプロトコルとして、2012年にRFCとして発行された。
違い †
- HTTPSを必須にし、署名をなくし、Token取得も簡略化
- Access Tokenのみでリソース取得が可能に
- Webアプリも含め、4つのClient Profileを仕様化
- Webサーバ(Web Server)
Webアプリケーション
- User Agentベースアプリケーション
WWWブラウザ上のJavaScript
- ネイティブアプリ(Native Application)
モバイルやデスクトップアプリ(ガイドライン程度しか定義されていない)
- 自立クライアント(Autonomous)
既存の認証フレームワークとSAMLなどのプロトコルを使って連携する場合のフロー。
- TokenがJWTアサーション形式で暗号化・署名される。
参考 †
@IT †
- OAuth 2.0でWebサービスの利用方法はどう変わるか
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth