OAuth PKCE のバックアップ(No.1)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth PKCE へ行く。
  • 1 (2017-11-20 (月) 15:58:22)
  • 2 (2017-11-20 (月) 18:33:46)
  • 3 (2017-11-24 (金) 18:53:22)
  • 4 (2017-11-30 (木) 13:40:36)
  • 5 (2017-12-01 (金) 10:24:15)
  • 6 (2017-12-08 (金) 09:38:54)
  • 7 (2017-12-14 (木) 15:58:36)
  • 8 (2017-12-18 (月) 22:47:26)
  • 9 (2018-02-16 (金) 16:17:08)
  • 10 (2018-02-16 (金) 19:59:52)
  • 11 (2018-02-22 (木) 18:53:54)
  • 12 (2018-03-06 (火) 12:59:57)
  • 13 (2018-03-19 (月) 15:15:47)
  • 14 (2018-03-23 (金) 18:13:44)
  • 15 (2018-10-09 (火) 22:15:45)
  • 16 (2018-11-10 (土) 22:47:30)
  • 17 (2019-02-05 (火) 21:08:04)
  • 18 (2019-03-20 (水) 17:15:09)
  • 19 (2019-03-26 (火) 10:45:53)
  • 20 (2019-04-11 (木) 10:51:09)
  • 21 (2019-07-17 (水) 09:44:06)
  • 22 (2019-07-18 (木) 14:25:21)
  • 23 (2019-11-14 (木) 18:38:46)
  • 24 (2019-11-21 (木) 18:52:47)
  • 25 (2020-01-06 (月) 18:47:21)
  • 26 (2020-02-22 (土) 18:21:38)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

認可コード横取り攻撃 (authorization code interception attack) への対策

• （Authorization Codeグラント種別により発行された）
  認可コードをクライアントアプリケーションが受け取る際、
  悪意のあるアプリケーションがその認可コードを横取りする攻撃に対抗する仕様。

• 主に、ネイティブアプリが、外部ブラウザを使用してOAuth 2.0認証要求を発行する場合、
  Authorization Codeを使用し、redirect_uriにカスタムURIスキームを使用してcodeを取得する、という方式があるが、
  • カスタムURIスキームの上書き攻撃によって、このが傍受されることがある。
  • また、client_idや、client_secretも漏洩してしまう可能性がある。

対策 †

• コード交換のための証明鍵（PKCE、 "pixy"と発音）を使用して脅威を軽減する。
• プロビジョニングされたアプリケーションのバイナリ・ファイル中のclient_secretについては、
  機密性が考慮されていないため、client_secretを必要としない方式になっている。

仕様の概要 †

• Abstract Protocol Flow

                                                  +-------------------+
                                                  |   Authz Server    |
        +--------+                                | +---------------+ |
        |        |--(A)- Authorization Request ---->|               | |
        |        |       + t(code_verifier), t_m  | | Authorization | |
        |        |                                | |    Endpoint   | |
        |        |<-(B)---- Authorization Code -----|               | |
        |        |                                | +---------------+ |
        | Client |                                |                   |
        |        |                                | +---------------+ |
        |        |--(C)-- Access Token Request ---->|               | |
        |        |          + code_verifier       | |    Token      | |
        |        |                                | |   Endpoint    | |
        |        |<-(D)------ Access Token ---------|               | |
        +--------+                                | +---------------+ |
                                                  +-------------------+

• 各エンドポイントで受け取るパラメタ

• 認可エンドポイント

  #	パラメタ	要否	説明
  1	code_challenge	必須	Code Verifier を元に計算された Code Challenge の値
  2	code_challenge_method	任意	Code Challenge の計算に用いるメソッド。plain (デフォルト) もしくは S256。

• Tokenエンドポイント

  #	パラメタ	要否	説明
  1	code_verifier	必須	Code Challenge の元となった Code Verifier の値

参考 †

仕様 †

• RFC 7636 - Proof Key for Code Exchange by OAuth Public Clients
  https://tools.ietf.org/html/rfc7636

その他 †

• RFC7636として発行されたOAuth PKCEとは - r-weblife
  http://d.hatena.ne.jp/ritou/20151018/1445181974
• PKCE: 認可コード横取り攻撃対策のために OAuth サーバーとクライアントが実装すべきこと - Qiita
  https://qiita.com/TakahikoKawasaki/items/00f333c72ed96c4da659
• OAuth for Native Apps | GREE Engineers' Blog
  http://labs.gree.jp/blog/2015/12/14831/
  • 解決策1-2: OAuth PKCE 拡張を利用する

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.022 sec.