UserAgentでOAuth2のTokenを取得するベスト・プラクティス のバックアップ(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• UserAgentでOAuth2のTokenを取得するベスト・プラクティス へ行く。
  • 1 (2018-02-16 (金) 13:33:03)
  • 2 (2018-02-16 (金) 16:37:25)
  • 3 (2018-02-16 (金) 19:12:53)
  • 4 (2018-02-16 (金) 19:58:44)
  • 5 (2018-02-20 (火) 11:40:31)
  • 6 (2018-02-20 (火) 15:45:27)
  • 7 (2018-02-21 (水) 16:54:33)
  • 8 (2018-02-23 (金) 11:07:00)
  • 9 (2018-02-23 (金) 19:03:23)
  • 10 (2018-03-06 (火) 00:11:47)
  • 11 (2018-03-06 (火) 13:47:53)
  • 12 (2018-03-26 (月) 14:44:05)
  • 13 (2018-10-09 (火) 22:19:57)
  • 14 (2018-11-22 (木) 12:56:47)
  • 15 (2018-12-18 (火) 10:56:53)
  • 16 (2018-12-28 (金) 17:42:35)
  • 17 (2019-02-05 (火) 21:01:12)
  • 18 (2019-03-15 (金) 10:15:02)
  • 19 (2019-04-19 (金) 10:55:19)
  • 20 (2019-07-18 (木) 14:33:18)
  • 21 (2019-09-09 (月) 13:25:03)
  • 22 (2019-12-03 (火) 16:40:53)
  • 23 (2020-02-22 (土) 20:52:00)
  • 24 (2021-05-24 (月) 13:07:06)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
（UserAgent?から、直接、Resource ServerのWebAPIにアクセスする）

詳細 †

SPA †

Implicitが使用できる。 †

• Implicitグラント種別
• Implicit Flow

スマホ †

Implicitは使用できない。 †

• Implicitグラント種別
• Implicit Flow

以下のどちらかを使用する。 †

• 使用可能なフロー
  • OAuth PKCE
  • Hybrid Flow

• ポイント
  • 入手したcodeはClientのServer側にポストして使用
  • Hybrid Flowでは、
    • codeとtokenのscope（認可された権限）を変える。
    • FAPIでは、token：参照系、code：更新系などとなっている。

Financial API (FAPI)も策定中。 †

Financial API (FAPI) †

• 金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。
• 現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。

参考 †

• OAuth for Native Apps | GREE Engineers' Blog
  http://labs.gree.jp/blog/2015/12/14831/

• 知っておきたい7つのID連携実装パターン - Yahoo! JAPAN Tech Blog
  https://techblog.yahoo.co.jp/web/auth/id_federation_impl_patterns/

  1. スタンダードなブラウザーパターン
  2. 推奨したいネイティブアプリとブラウザーパターン
  3. 画面遷移がシンプルなネイティブアプリとWebView?パターン
  4. フィッシング防止なWebView?アプリとブラウザーパターン
  5. WebView?アプリ完結パターン
  6. 実装が大変だけどより汎用的なハイブリッドアプリとブラウザーパターン
  7. 汎用的なハイブリッドアプリとWebView?パターン

• OAuth2/OIDCの認証にWebView?はダメっぽい。

• OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife
  http://d.hatena.ne.jp/ritou/20120619/1340101421
• Google、WebView?からのOAuth認証リクエストをブロックへ | スラド セキュリティ
  https://security.srad.jp/story/16/08/30/0636245/
  • WebView?でGoogleアカウントのOAuth認証が使えなくなる問題
    https://techracho.bpsinc.jp/hachi8833/2016_09_01/25471
  • AndroidからGoogle Service OAuth2.0の利用で詰んでいる
    http://awwa500.blogspot.jp/2012/12/androidgoogle-service-oauth20.html

• 代替の提案としては、以下のモノがある。
  
  • Chrome Custom Tabs（Android向け）
    https://developer.chrome.com/multidevice/android/customtabs
  • SFSafariViewController?（iOS向け）
    https://developer.apple.com/library/ios/documentation/SafariServices/Reference/SFSafariViewController_Ref/

仕様 †

スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps) †

認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE) †

---

Tags: :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.019 sec.