UserAgentでOAuth2のTokenを取得するベスト・プラクティスのバックアップ(No.4) - マイクロソフト系技術情報 Wiki

[ トップ ] [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

戻る

目次 †

目次
概要
詳細
参考
- 仕様
  - スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps)
  - 認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE)

概要 †

UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
（UserAgent?から、直接、Resource ServerのWebAPIにアクセスする）

詳細 †

SPA †

Implicitが使用できる。 †

Implicitグラント種別

Implicit Flow

Hybridでセキュリティが強化される。 †

codeとtokenのscope（認可された権限）を変える。
※ Financial API (FAPI)では、token：参照系、code：更新系などとなっている。

入手したcodeはClientのServer側にポストして使用する。
※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

Financial API (FAPI)も策定中。 †

スマホ †

Implicitは使用できない。 †

Implicitグラント種別

Implicit Flow

Hybridも使用できない。 †

codeとtokenが、Private-Use URL Scheme上書き攻撃から保護されないため。

OAuth PKCEを適切に利用する。 †

Private-Use URL Scheme上書き攻撃から保護される。

入手したcodeはClientのServer側にポストして使用する。
※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

Financial API (FAPI)も策定中。 †

Financial API (FAPI) †

金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。

現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。

参考 †

仕様 †

スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps) †

認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE) †

Tags: :認証基盤, :クレームベース認証, :OAuth