OAuth 2.0 Device Authorization Grant のバックアップ(No.4)

バックアップ一覧
差分を表示
現在との差分を表示
ソースを表示
OAuth 2.0 Device Authorization Grant へ行く。

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
- 前提
- フロー
詳細
- 認可エンドポイント
  - 認可リクエスト
  - 認可レスポンス
- Tokenエンドポイント
  - ポイント
  - クライアント認証
参考
- 内部リンク
  - OAuth 2.0 Device Flow
  - CIBA(Client Initiated Backchannel Authentication)

↑

概要 †

http://self-issued.info/?p=1959

と言った理由で、OAuth 2.0 Device Flowから変更された（v15から）。

↑

前提 †

Deviceは、既にインターネットに接続されている状態。
Deviceは、アウトバウンドHTTPS要求を作成できる。
Deviceは、UserにURIとコードを表示または通信できる。
Userは、セカンダリデバイス（PCやスマホなど）を持っている。

↑

フロー †

     +----------+                                +----------------+
     |          |>---(A)-- Client Identifier --->|                |
     |          |                                |                |
     |          |<---(B)-- Device Code,      ---<|                |
     |          |          User Code,            |                |
     |  Device  |          & Verification URI    |                |
     |  Client  |                                |                |
     |          |  [polling]                     |                |
     |          |>---(E)-- Device Code,      --->|                |
     |          |          & Client Identifier   |                |
     |          |                                |  Authorization |
     |          |<---(F)-- Access Token      ---<|     Server     |
     +----------+   (& Optional Refresh Token)   |                |
           v                                     |                |
           :                                     |                |
          (C) User Code & Verification URI       |                |
           :                                     |                |
           v                                     |                |
     +----------+                                |                |
     | End user |                                |                |
     |    at    |<---(D)-- End user reviews  --->|                |
     |  Browser |          authorization request |                |
     +----------+                                +----------------+

ClientはAuthZ（AuthN）からの認可要求にclient_idを含める（A）。
AuthZ（AuthN）は、Clientの認可要求に対して下記を応答する（B）。
- デバイス・コード
- エンドユーザ・コード
- エンドユーザ検証URI
Clientは、Resource Owner（EndUser?）に（別のデバイス上の）User-Agentを使用し、
エンドユーザ検証URIにアクセスしエンドユーザ・コードを入力するように指示（C）。
User-Agent
- AuthZ（AuthN）はUser-Agentを介しResource Owner（EndUser?）を認証。
- 許可要求に同意した場合、User-Agentからエンドユーザ・コードを入力、AuthZ（AuthN）で検証（D）。
Client
AuthZ（AuthN）を繰り返しポーリング（デバイス・コードとclient_id）
AuthZ（AuthN）は、Clientから提供されたデバイス・コードとclient_idを検証し、
Resource Owner（EndUser?）が、アクセスを、
- 許可した場合はaccess_tokenで応答し、
- 拒否した場合はエラーを返す。

↑

詳細 †

↑

認可エンドポイント †

↑

認可リクエスト †

ポイントは
- POSTであること。
- IoTデバイスは、Public Clientに近いので、client_secretは不要。

HTTP電文

POST /device_authorization HTTP/1.1
Host: server.example.com
Content-Type: application/x-www-form-urlencoded

client_id=459691054427

↑

認可レスポンス †

パラメタ

device_code
- 必須。
- デバイス・コード
  デバイスを検証するコード。

user_code
- 必須。
- エンドユーザー確認コード。

validation_uri
- 必須
- 承認のエンドユーザー検証URI
- 手動入力可能なように短く。

validation_uri_complete
- オプション。
- QueryString?にuser_codeを含むvalidation_uri

expires_in
- 必須
- device_code、user_codeの有効期間（秒）。

間隔
- オプション。
- ポーリング間隔
  最小の待機時間（秒）
  デフォルトは5（秒）

HTTP電文

     HTTP/1.1 200 OK
     Content-Type: application/json
     Cache-Control: no-store

     {
       "device_code": "GmRhmhcxhwAzkoEqiMEg_DnyEysNkuNhszIySk9eS",
       "user_code": "WDJB-MJHT",
       "verification_uri": "https://example.com/device",
       "verification_uri_complete":
           "https://example.com/device?user_code=WDJB-MJHT",
       "expires_in": 1800,
       "interval": 5
     }

↑