![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
Open棟梁Project - マイクロソフト系技術情報 Wiki
認証ではなく認可のためのプロトコル(権限委譲プロトコル)。
| 項番 | 名称 | 実体例 | やること |
| 1 | ResourceOwner? | ユーザ(人間) | ResourceOwnerのCredentialsを入力してリソースにアクセスする。 |
| 2 | Client | Program(Webブラウザ, Webアプリケーション, etc.) | ResourcesServer?にアクセスするClient。 認可レイヤの設置により、認証・認可の役割が分割されたため、 1、3、4を繋ぐ忙しいプログラムになった(だからクレームベース認証は難しい) |
| 3 | AuthorizationServer? | 認証・認可のサーバー機能 | 認証チケットとAccess Tokenの発行を行うWebアプリケーション。 |
| 4 | ResourceServer? | リソースアクセスを提供するサーバー機能、 AuthorizationServer?と別でも良い | Access Tokenを受けてリソースアクセスを提供するWebアプリケーション。 |
+--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorization Grant ---| | | | +---------------+ | | | | +---------------+ | |--(C)-- Authorization Grant -->| Authorization | | Client | | Server | | |<-(D)----- Access Token -------| | | | +---------------+ | | | | +---------------+ | |--(E)----- Access Token ------>| Resource | | | | Server | | |<-(F)--- Protected Resource ---| | +--------+ +---------------+
ResourceOwner?は、Clientを経由して、AuthorizationServer?(の認証画面)で認証する。
認証後、Clientは、AuthorizationServer?の認可エンドポイントで認可グラントを受け取る。
Clientは、AuthorizationServer?のTokenエンドポイントに認可グラントを提示することで、Access Tokenを要求する.
AuthorizationServer?は、Clientと 認可グラントが正当であれば、ClientにAccess Tokenを発行する。
Clientは、ResourceServer?にAccess Tokenを提示してProtected Resourceにアクセスする。
以下、4つのグラント種別に対応するフローがある。
RFCを読むと、
GET /resource/1 HTTP/1.1 Host: example.com Authorization: Bearer XXXXXXXXXX
RFCを読むと、
ResourceOwner?の認証用のCredentialsはOAuth 2.0 仕様の外
(AuthorizationServer?はユーザID、パスワードなどを使用してResourceOwner?を認証)
Clientの認証用のCredentials(AuthorizationServer?はこれらを使用してClientを認証)
URLは仕様で規定されない。
Redirectエンドポイント
認可エンドポイントにGETで送付する。
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。
| 項番 | グラント種別 | パラメタ値 | 意味 |
| 1 | Authorization Code | code | 仲介コードを要求 |
| 2 | Implicit | token | Access Tokenを要求 |
Clientの識別や認証のために、色々な所で使用されるパラメタ。
client_idに対応するRedirectエンドポイントを指定するために指定するパラメタ。
TokenエンドポイントにPOSTを送付するときに指定するパラメタ。
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。
| 項番 | グラント種別 | パラメタ値 |
| 1 | Authorization Code | authorization_code |
| 2 | Resource Owner Password Credentials | password |
| 3 | Client Credentials | client_credentials |
| 4 | 上記1、2、3のグラント種別でRefreshトークンを使用する際 | refresh_token |
CSRFのセキュリティ対策に使用が推奨されるパラメタ。
| 項番 | パラメタ値 | 意味 |
| 1 | code | access_tokenを取得するためのtokenで、Authorization Codeグラント種別でのみ使用する。 |
| 2 | access_token | コチラを参照 |
| 3 | refresh_token | コチラを参照 |
セキュリティに関する考察
Redirectエンドポイントを変更し、攻撃者のClientに誘導できる。
Redirectエンドポイントを変更し、攻撃者のClientに誘導できる。
「OAuth 2.0 の implicit grant flow を認証に使うと、
車が通れる程どてかいセキュリティ・ホールが開く。」らしい。
この、セキュリティ・ホールとは、
ザックリ言って、
と言うモノらしい。
この内容の良くない所は、
が、ごちゃ混ぜになっていること。
認証ではなく認可のためのプロトコル(権限委譲プロトコル)である。
OAuth 2.0の仕様を良く読んでもOAuth2.0を認証に使用しても問題ないように見える。
以下のBlogを参照して、
「OAuthが権限委譲(認可伝達)プロトコルなのは事実です。
・・・権限委譲プロトコルのひとつの利用方法に過ぎないからです。」
「権限委譲プロトコルOAuthで、事実上、認証伝達ができる。」
の部分を見ると、全権限の認可は≒認証で、
OAuth 2.0による認証は、OAuth 2.0の1利用方法と考えることができる。
ただし、OAuth 2.0には以下の問題があると考える。
このため、これらの問題がある状態で、OAuth 2.0を認証に使用すると、
「ResourceServer?で公開しているリソースへのアクセスを認可する。」
という限られた権限より、大きい権限を委譲することになるので、
この意味は、真には「認可に比べて認証はリスクが大きい。」
ということが懸念されているということになる。
この問題は、
以下のように対策できる。
OAuth 2.0仕様には4つのフローが定義されている。
これらのフローのタイプを「グラント種別」と呼ばれる。
以下の様な「グラント種別」がある模様。
+----------+
| Resource |
| Owner |
| |
+----------+
^
|
(B)
+----|-----+ Client Identifier +---------------+
| -+----(A)-- & Redirection URI ---->| |
| User- | | Authorization |
| Agent -+----(B)-- User authenticates --->| Server |
| | | |
| -+----(C)-- Authorization Code ---<| |
+-|----|---+ +---------------+
| | ^ v
(A) (C) | |
| | | |
^ v | |
+---------+ | |
| |>---(D)-- Authorization Code ---------' |
| Client | & Redirection URI |
| | |
| |<---(E)----- Access Token -------------------'
+---------+ (w/ Optional Refresh Token)Note: The lines illustrating steps (A), (B), and (C) are broken into two parts as they pass through the user-agent.
+----------+
| Resource |
| Owner |
| |
+----------+
^
|
(B)
+----|-----+ Client Identifier +---------------+
| -+----(A)-- & Redirection URI --->| |
| User- | | Authorization |
| Agent -|----(B)-- User authenticates -->| Server |
| | | |
| |<---(C)--- Redirection URI ----<| |
| | with Access Token +---------------+
| | in Fragment
| | +---------------+
| |----(D)--- Redirection URI ---->| Web-Hosted |
| | without Fragment | Client |
| | | Resource |
| (F) |<---(E)------- Script ---------<| |
| | +---------------+
+-|--------+
| |
(A) (G) Access Token
| |
^ v
+---------+
| |
| Client |
| |
+---------+Note: The lines illustrating steps (A) and (B) are broken into two parts as they pass through the user-agent.
+----------+
| Resource |
| Owner |
| |
+----------+
v
| Resource Owner
(A) Password Credentials
|
v
+---------+ +---------------+
| |>--(B)---- Resource Owner ------->| |
| | Password Credentials | Authorization |
| Client | | Server |
| |<--(C)---- Access Token ---------<| |
| | (w/ Optional Refresh Token) | |
+---------+ +---------------++---------+ +---------------+ | | | | | |>--(A)- Client Authentication --->| Authorization | | Client | | Server | | |<--(B)---- Access Token ---------<| | | | | | +---------+ +---------------+
+--------+ +---------------+ | |--(A)- Authorization Request ->| Resource | | | | Owner | | |<-(B)-- Authorization Grant ---| | | | +---------------+ | | | | +---------------+ | |--(C)-- Authorization Grant -->| Authorization | | Client | | Server | | |<-(D)----- Access Token -------| | | | +---------------+ | | | | +---------------+ | |--(E)----- Access Token ------>| Resource | | | | Server | | |<-(F)--- Protected Resource ---| | +--------+ +---------------+
