「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
OAuth 2.0 Threat Model and Security Considerationsの
一般的なすべてのOAuthコンポーネントに適用されるセキュリティ考慮事項。
要求の機密性を確保 †
対象 †
要求
- Client(UserAgent?)からAuthorization Server
- Client(UserAgent?)からResources Server
脅威 †
各種トークンの傍受攻撃または再生攻撃が可能になる。
対策 †
SSL/TLSを利用する。
サーバ認証 †
対象 †
各種サーバ
- Authorization Server
- Client(Web application)
- Resources Server
脅威 †
偽造サーバへの誘導
対策 †
SSL/TLS(サーバ証明)の利用
常にResources Ownerに通知 †
対象 †
を認識する可能性
- 非対話的フローでの認可
- リフレッシュ
- , etc.
脅威 †
特定の種類の攻撃
対策 †
- Notification messages (email, SMS)
通知はフィッシング媒介になる可能性があることに注意
- アクティビティ/イベントログ
- ユーザ・セルフケア・ポータル
Tags: :認証基盤, :クレームベース認証, :OAuth
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
