「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。 目次 †概要 †セキュリティに関する考察と、考慮点。 詳細 †基礎 †脅威モデルとセキュリティ考慮事項 †OAuth 2.0 Threat Model and Security Considerations 参考 †
認証に使用する †問題点 †認証ではなく認可のためのプロトコル(権限委譲プロトコル)である。 以下のBlogを参照して、
の部分を見ると、全権限の認可は≒認証で、 従って、「OAuth 2.0は認証で使用できる。」と考える。
このため、これらの問題がある状態で、OAuth 2.0を認証に使用すると、
という限られた権限より、(システムにログインできるということは)大きい権限を委譲することになるので、 対応方法1 †従って、この問題は、特に脆弱なImplicit Flowを対象に、以下のように対策できる。
対応方法2 †更に、昨今、Implicitフロー非推奨の流れが。 拡張のフロー †スマホ向け †デバイス向け †ベスト・プラクティス †OAuth 2.0 Security Best Current Practice †UserAgentでOAuth2のTokenを取得するベスト・プラクティス †UserAgent?=SPA、スマホの意 JWTのコンテキストで何故かSessionとかCookieとか †参考 †OAuth 1.0 のほうが OAuth 2.0 より安全なの? †
qiita.com/TakahikoKawasaki? †
r-weblife †https://ritou.hatenablog.com/archive/category/Security
Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth |