OAuth 2.0 拡張 のバックアップ(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth 2.0 拡張 へ行く。
  • 1 (2018-03-06 (火) 13:06:52)
  • 2 (2018-03-06 (火) 13:23:11)
  • 3 (2018-03-06 (火) 19:08:43)
  • 4 (2018-03-07 (水) 09:44:53)
  • 5 (2018-03-12 (月) 12:48:10)
  • 6 (2018-05-09 (水) 09:33:24)
  • 7 (2018-10-09 (火) 22:15:31)
  • 8 (2018-10-10 (水) 12:04:43)
  • 9 (2018-11-10 (土) 22:43:00)
  • 10 (2018-11-22 (木) 10:28:51)
  • 11 (2019-01-04 (金) 12:45:17)
  • 12 (2019-01-23 (水) 10:25:23)
  • 13 (2019-03-13 (水) 13:31:55)
  • 14 (2019-08-28 (水) 14:00:02)
  • 15 (2020-03-12 (木) 11:32:49)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

その他のフロー †

その他にも、以下のようなフローがある。

JWTを使用したフロー †

JWT bearer token authorizationグラント種別 †

JWT Secured Authorization Request (JAR) †

OAuth2.0 Proof of Possession †

スマホ向けフロー †

スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps) †

認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE) †

その他のデバイス向けフロー †

OAuth 2.0 Device Flow †

新しい仕様 †

その他、新しい仕様も策定されている。

OAuth 2.0 拡張で追加された仕様 †

トークン取り消し (RFC 7009 ... Token Revocation) †

トークン情報取得 (RFC 7662 ... Token Introspection) †

OpenID Connectで追加された仕様 †

応答タイプ (response_type)の追加 †

応答モード (response_mode)の新設 †

claimsリクエスト・パラメタ †

認証コンテキストクラス †

リクエスト・オブジェクト †

Financial API (FAPI)で追加された仕様 †

セキュリティ †

セキュリティに関する考察と、考慮点。

認証に使用する †

問題点 †

認証ではなく認可のためのプロトコル（権限委譲プロトコル）である。
OAuth 2.0の仕様を熟読してもOAuth2.0を認証に使用しても問題ないように見える。

以下のBlogを参照して、

• 認可のためのプロトコルのOAuthが認証に使えることの説明 | ありえるえりあ
  http://dev.ariel-networks.com/wp/archives/258
  

• 「OAuthが権限委譲(認可伝達)プロトコルなのは事実です。
  ・・・権限委譲プロトコルのひとつの利用方法に過ぎないからです。」

• 「権限委譲プロトコルOAuthで、事実上、認証伝達ができる。」

の部分を見ると、全権限の認可は≒認証で、
OAuth 2.0による認証も、OAuth 2.0の一利用方法と捉えることができる。

従って、「OAuth 2.0は認証で使用できる。」と考える。
ただし、「OAuth 2.0には以下の問題がある。」と考える。

• Openな仕掛けで、インターネット上の野良Client、Resource Ownerから攻撃され得る。
• また、Authorization Serverに脆弱性があった場合、攻撃対象になり得る。
• さらに、Clientの作り次第で、Access Tokenが露見し得る。

このため、これらの問題がある状態で、OAuth 2.0を認証に使用すると、

「Resource Serverで公開しているリソースへのアクセスを認可する。」

という限られた権限より、（システムにログインできるということは）大きい権限を委譲することになるので、
この発言の背景では、「認可に比べ、認証に使用した場合、リスクが大きい。」という問題が懸念されている。

対応方法 †

従って、この問題は、

• r-weblife
  • OAuth 2.0 Implicit Flowをユーザー認証に利用する際のリスクと対策方法について #idcon
    http://d.hatena.ne.jp/ritou/20120206/1328484575
  • GoogleのOAuth 2.0実装におけるToken置換攻撃の防ぎ方
    http://d.hatena.ne.jp/ritou/20120702/1341235859

以下のように対策できる。

• ImplicitをAuthorization Codeに変更する。
  • Implicitを利用している場合、Authorization Codeを利用できないか確認する。
  • Authorization Codeであれば、Access Tokenの露見の可能性は低い（ただし、Clientの作り次第）。

• OAuth2を拡張して、
  • Bearer TokenをJWTアサーションに変更する。
  • OAuth 2.0 拡張で追加された仕様をサポートする。
  • OpenID Connectをサポートする。

参考 †

• 今更聞けないOAuth2.0 - セキュリティ対策
  http://www.slideshare.net/ph1ph2sa25/oauth20-46144252/54

• OAuth 2.0の概要とセキュリティ
  http://www.slideshare.net/charlier-shoe/oauth-20-29540466

• 第3回　Webセキュリティのおさらい
  その3 CSRF・オープンリダイレクト・クリックジャッキング：
  JavaScriptセキュリティの基礎知識｜gihyo.jp … 技術評論社
  
  • http://gihyo.jp/dev/serial/01/javascript-security/0003?page=1
  • http://gihyo.jp/dev/serial/01/javascript-security/0003?page=2

• GoogleのOAuth 2.0実装におけるToken置換攻撃の防ぎ方 - r-weblife
  http://d.hatena.ne.jp/ritou/20120702/1341235859
• HTTPS でも Full URL が漏れる？OAuth の Code も漏れるんじゃね？？
  http://oauth.jp/blog/2016/07/27/https-full-url-leaks/

UserAgentでOAuth2のTokenを取得するベスト・プラクティス †

OAuth 2.0 の脅威モデルとセキュリティの考慮事項 (RFC 6819) †

OAuth 1.0 のほうが OAuth 2.0 より安全なの？ †

• OAuth 1.0 のほうが OAuth 2.0 より安全なの？ - Qiita
  http://qiita.com/TakahikoKawasaki/items/3600b28af7b63671b968
  • 「OAuth 2.0 は OAuth 1.0 よりも安全ではない」とは言えない。
  • OAuth 1.0 でClientを作る方こそ安全ではない。
  • OAuth 1.0 ではなく OAuth 2.0 を採用するのが良い。

• OAuth 2.0 and the Road to Hell – hueniverse
  http://hueniverse.com/2012/07/26/oauth-2-0-and-the-road-to-hell/

The OAuth 2.0 Authorization Framework †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  https://tools.ietf.org/html/rfc6749

• OAuth 2.0 Core & Bearer Spec (RFC 6749 & RFC 6750) 翻訳公開！ - OAuth.jp
  http://oauth.jp/blog/2013/01/23/oauth-20-core-bearer-spec-rfc-rfc-6749-rfc-67/
  • The OAuth 2.0 Authorization Framework
    http://openid-foundation-japan.github.io/rfc6749.ja.html
  • The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
    http://openid-foundation-japan.github.io/rfc6750.ja.html

RFC 6749 - OAuth 2.0のフロー定義 †

OAuth 2.0仕様には4つのフローが定義されている。
これらのフローのタイプを「グラント種別」と呼ばれる。

• IPA ISEC　セキュア・プログラミング講座：
  Webアプリケーション編　第8章 マッシュアップ：サーバサイドマッシュアップ
  https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/709.html

以下の様な「グラント種別」がある模様。

Authorization Codeグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework > 4.1. Authorization Code Grant
  https://tools.ietf.org/html/rfc6749#section-4.1

• Authorization Code Flow

  +----------+
  | Resource |
  |   Owner  |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier      +---------------+
  |         -+----(A)-- & Redirection URI ---->|               |
  |  User-   |                                 | Authorization |
  |  Agent  -+----(B)-- User authenticates --->|     Server    |
  |          |                                 |               |
  |         -+----(C)-- Authorization Code ---<|               |
  +-|----|---+                                 +---------------+
    |    |                                         ^      v
   (A)  (C)                                        |      |
    |    |                                         |      |
    ^    v                                         |      |
  +---------+                                      |      |
  |         |>---(D)-- Authorization Code ---------'      |
  |  Client |          & Redirection URI                  |
  |         |                                             |
  |         |<---(E)----- Access Token -------------------'
  +---------+       (w/ Optional Refresh Token)

Note: The lines illustrating steps (A), (B), and (C) are broken into two parts as they pass through the user-agent.

Implicitグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework > 4.2. Implicit Grant
  https://tools.ietf.org/html/rfc6749#section-4.2

• Implicit Grant Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier     +---------------+
  |         -+----(A)-- & Redirection URI --->|               |
  |  User-   |                                | Authorization |
  |  Agent  -|----(B)-- User authenticates -->|     Server    |
  |          |                                |               |
  |          |<---(C)--- Redirection URI ----<|               |
  |          |          with Access Token     +---------------+
  |          |            in Fragment
  |          |                                +---------------+
  |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
  |          |          without Fragment      |     Client    |
  |          |                                |    Resource   |
  |     (F)  |<---(E)------- Script ---------<|               |
  |          |                                +---------------+
  +-|--------+
    |    |
   (A)  (G) Access Token
    |    |
    ^    v
  +---------+
  |         |
  |  Client |
  |         |
  +---------+

Note: The lines illustrating steps (A) and (B) are broken into two parts as they pass through the user-agent.

Resource Owner Password Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework > 4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.3

• Resource Owner Password Credentials Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       v
       |    Resource Owner
      (A) Password Credentials
       |
       v
  +---------+                                  +---------------+
  |         |>--(B)---- Resource Owner ------->|               |
  |         |         Password Credentials     | Authorization |
  | Client  |                                  |     Server    |
  |         |<--(C)---- Access Token ---------<|               |
  |         |    (w/ Optional Refresh Token)   |               |
  +---------+                                  +---------------+

• 参考
  • memo: Force.com : REST API 開発 ユーザ名パスワード OAuth 認証
    http://vaindespair.blogspot.jp/2013/01/blog-post_5252.html
    • Understanding the Username-Password OAuth Authentication Flow
      Force.com REST API Developer Guide | Salesforce Developers
      https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_understanding_username_password_oauth_flow.htm

Client Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework > 4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.4

• Client Credentials Grant

  +---------+                                  +---------------+
  |         |                                  |               |
  |         |>--(A)- Client Authentication --->| Authorization |
  | Client  |                                  |     Server    |
  |         |<--(B)---- Access Token ---------<|               |
  |         |                                  |               |
  +---------+                                  +---------------+

RFC 6750 - Bearer Token Usage †

• RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
  https://tools.ietf.org/html/rfc6750

概要 †

• 認可サーバーにより発行されたアクセストークンを、
  保護リソースエンドポイント (狭義の Web API) に渡す方法を定めた仕様

• 次の 3 つの方法を定義されている。
  • Authorization Request Header Field
    Authorization ヘッダに埋め込む方法
  • Form-Encoded Body Parameter
    リクエスト・ボディに埋め込む方法
  • URI Query Parameter
    クエリ・パラメタとして渡す方法

フロー †

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

その他 †

OAuth 2.0 Device Flow †

• draft-ietf-oauth-device-flow - OAuth 2.0 Device Flow for Browserless and Input Constrained Devices
  https://tools.ietf.org/html/draft-ietf-oauth-device-flow

• 概要
  • 入力デバイスを持たないデバイスでOAuth2を行う場合のフロー。
  • 別のデバイスで入力を始めるための(C) User Code & Verification URI には、以下が使用できる。
    • QRコードやNFC、
    • e-mailやSMS（Remote Phishingに注意）

• フロー

       +----------+                                +----------------+
       |          |>---(A)-- Client Identifier --->|                |
       |          |                                |                |
       |          |<---(B)-- Verification Code, --<|                |
       |          |              User Code,        |                |
       |          |         & Verification URI     |                |
       |  Device  |                                |                |
       |  Client  |         Client Identifier &    |                |
       |          |>---(E)-- Verification Code --->|                |
       |          |    polling...                  |                |
       |          |>---(E)-- Verification Code --->|                |
       |          |                                |  Authorization |
       |          |<---(F)-- Access Token --------<|     Server     |
       +----------+  (w/ Optional Refresh Token)   |                |
             v                                     |                |
             :                                     |                |
            (C) User Code & Verification URI       |                |
             :                                     |                |
             v                                     |                |
       +----------+                                |                |
       | End-user |                                |                |
       |    at    |<---(D)-- User authenticates -->|                |
       |  Browser |                                |                |
       +----------+                                +----------------+

参考 †

• OAuth - Wikipedia
  https://ja.wikipedia.org/wiki/OAuth

OAuth 1.0 †

• OAuth Core 1.0
  http://oauth.net/core/1.0/

• ゼロから学ぶOAuth：特集｜gihyo.jp … 技術評論社
  http://gihyo.jp/dev/feature/01/oauth
  • 第1回　OAuthとは？―OAuthの概念とOAuthでできること
    http://gihyo.jp/dev/feature/01/oauth/0001
  • 第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）
    http://gihyo.jp/dev/feature/01/oauth/0002
  • 第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）
    http://gihyo.jp/dev/feature/01/oauth/0003
  • 第4回　OAuth Service Providerの実装
    http://gihyo.jp/dev/feature/01/oauth/0004

OAuth 2.0 †

• The OAuth 2.0 Authorization Framework

• OAuth 2.0 の仕組みと認証方法 | murashun.jp
  https://murashun.jp/blog/20150920-01.html

• OAuth 2.0の代表的な利用パターンを仕様から理解しよう - Build Insider
  http://www.buildinsider.net/enterprise/openid/oauth20

＠IT †

• デジタル・アイデンティティ技術最新動向 連載インデックス
  http://www.atmarkit.co.jp/fsecurity/index/index_digid.html
  • デジタル・アイデンティティ技術最新動向（1）：「OAuth」の基本動作を知る
    • http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
    • http://www.atmarkit.co.jp/ait/articles/1208/27/news129_2.html

• OAuth 2.0でWebサービスの利用方法はどう変わるか
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/01.html
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/03.html

Qiita †

• OAuth & OpenID Connect 関連仕様まとめ - Qiita
  https://qiita.com/TakahikoKawasaki/items/185d34814eb9f7ac7ef3

• OAuth 2.0 の仕様を読むために - Qiita
  http://qiita.com/awakia/items/66975de18ba25f18a961
• 色々な OAuth のフローと doorkeeper gem での実装 - Qiita
  http://qiita.com/tyamagu2/items/5aafff7f6ae0a9ec94aa

slideshare †

• 今更聞けないOAuth2.0
  http://www.slideshare.net/ph1ph2sa25/oauth20-46144252

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  OAuth 2.0 Authorization Code Flow
  http://www.slideshare.net/kura_lab/openid-connect-id/21

Microsoft Azure Active Directory †

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.049 sec.