OAuth のバックアップ(No.8)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• OAuth へ行く。
  • 1 (2016-01-14 (木) 13:18:06)
  • 2 (2016-01-14 (木) 13:44:11)
  • 3 (2016-01-19 (火) 15:56:07)
  • 4 (2016-01-19 (火) 19:30:50)
  • 5 (2016-01-22 (金) 12:30:00)
  • 6 (2016-01-26 (火) 13:35:31)
  • 7 (2016-03-09 (水) 12:28:21)
  • 8 (2016-12-12 (月) 14:15:17)
  • 9 (2016-12-12 (月) 17:36:37)
  • 10 (2016-12-13 (火) 18:58:41)
  • 11 (2016-12-14 (水) 17:45:45)
  • 12 (2016-12-14 (水) 23:23:05)
  • 13 (2016-12-15 (木) 09:23:26)
  • 14 (2016-12-16 (金) 11:46:45)
  • 15 (2016-12-16 (金) 14:55:22)
  • 16 (2016-12-16 (金) 17:53:02)
  • 17 (2016-12-16 (金) 22:52:17)
  • 18 (2016-12-19 (月) 22:55:54)
  • 19 (2016-12-20 (火) 13:08:00)
  • 20 (2016-12-20 (火) 15:52:24)
  • 21 (2016-12-22 (木) 13:36:30)
  • 22 (2017-01-04 (水) 11:23:36)
  • 23 (2017-01-04 (水) 15:46:01)
  • 24 (2017-01-06 (金) 13:34:13)
  • 25 (2017-01-07 (土) 16:52:23)
  • 26 (2017-01-08 (日) 18:17:22)
  • 27 (2017-01-13 (金) 21:04:03)
  • 28 (2017-01-15 (日) 13:42:10)
  • 29 (2017-02-07 (火) 12:03:42)
  • 30 (2017-03-03 (金) 21:40:48)
  • 31 (2017-05-08 (月) 11:37:42)
  • 32 (2017-05-22 (月) 10:35:09)
  • 33 (2017-05-26 (金) 13:48:31)
  • 34 (2017-05-26 (金) 14:38:20)
  • 35 (2017-05-29 (月) 12:47:32)
  • 36 (2017-07-04 (火) 17:29:55)
  • 37 (2017-07-16 (日) 14:18:25)
  • 38 (2017-10-23 (月) 09:35:07)
  • 39 (2017-11-14 (火) 12:03:26)
  • 40 (2017-11-14 (火) 14:33:08)
  • 41 (2017-11-14 (火) 18:39:22)
  • 42 (2017-11-17 (金) 17:48:08)
  • 43 (2017-11-17 (金) 19:11:15)
  • 44 (2017-11-20 (月) 18:56:03)
  • 45 (2017-11-30 (木) 13:56:39)
  • 46 (2017-11-30 (木) 18:39:43)
  • 47 (2017-12-04 (月) 11:33:47)
  • 48 (2017-12-06 (水) 12:57:07)
  • 49 (2017-12-07 (木) 10:13:39)
  • 50 (2017-12-07 (木) 15:02:22)
  • 51 (2017-12-08 (金) 09:35:52)
  • 52 (2017-12-08 (金) 18:00:14)
  • 53 (2017-12-11 (月) 11:51:20)
  • 54 (2017-12-12 (火) 10:02:44)
  • 55 (2017-12-18 (月) 21:51:16)
  • 56 (2017-12-20 (水) 15:16:52)
  • 57 (2018-02-04 (日) 14:13:01)
  • 58 (2018-02-15 (木) 10:59:10)
  • 59 (2018-02-16 (金) 13:48:42)
  • 60 (2018-02-27 (火) 18:44:00)
  • 61 (2018-03-05 (月) 13:06:37)
  • 62 (2018-03-05 (月) 16:27:04)
  • 63 (2018-03-06 (火) 13:21:30)
  • 64 (2018-03-13 (火) 15:27:05)
  • 65 (2018-03-16 (金) 17:29:32)
  • 66 (2018-03-16 (金) 22:00:39)
  • 67 (2018-03-20 (火) 21:41:55)
  • 68 (2018-03-23 (金) 11:30:53)
  • 69 (2018-04-05 (木) 09:30:29)
  • 70 (2018-08-21 (火) 21:28:03)
  • 71 (2018-10-09 (火) 18:27:19)
  • 72 (2018-10-09 (火) 22:13:44)
  • 73 (2018-10-10 (水) 09:48:42)
  • 74 (2018-10-10 (水) 16:21:01)
  • 75 (2018-10-11 (木) 11:49:38)
  • 76 (2018-10-17 (水) 17:53:01)
  • 77 (2018-11-22 (木) 10:20:59)
  • 78 (2018-11-22 (木) 16:16:19)
  • 79 (2018-12-18 (火) 10:59:37)
  • 80 (2019-03-01 (金) 11:03:10)
  • 81 (2019-03-04 (月) 12:45:27)
  • 82 (2019-04-02 (火) 20:21:36)
  • 83 (2019-05-08 (水) 23:25:03)
  • 84 (2019-10-23 (水) 10:28:28)
  • 85 (2019-11-28 (木) 17:01:25)
  • 86 (2020-02-23 (日) 17:52:46)
  • 87 (2020-03-10 (火) 17:21:43)
  • 88 (2020-03-12 (木) 11:35:54)

---

Open棟梁Project - マイクロソフト系技術情報 Wiki

• 戻る

目次 †

概要 †

• 戻る

変遷 †

OAuth 1.0 †

• OpenIDを使ってTwitterやMa.gnoliaのAPIの認証委譲する方法を議論を開始。
• 2007/4にOAuthのコミュニティが誕生。
• 2007/7にOAuthの仕様の草案が完成。
• 2007/10/3に、より正式な仕様であるOAuth Core 1.0 の最終草案がリリース。
• 2008/11、第73回のIETF会合でOAuthの非公式会合も開かれ、
  さらなる標準化に向けてIETFにOAuthプロトコルを提案するかどうかを議論。
• 2009/4/23、OAuth 1.0のセキュリティ問題が判明。この問題は、OAuth 1.0aで修正された。

OAuth 2.0 †

• OAuth 1.0とは後方互換性を持たない。
• 次世代のOAuthプロトコルとして、2012年にRFCとして発行された。

OAuth 1.0とOAuth 2.0の違い †

• OAuth 2.0でWebサービスの利用方法はどう変わるか（2-3）- ＠IT
  http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html

1. HTTPSを必須にし、署名をなくし、トークン取得も簡略化
2. アクセストークンのみでリソース取得が可能に
3. Webアプリも含め、4つのクライアントプロファイルを仕様化
   1. Webサーバ（Web Server）
      Webアプリケーション
   2. ユーザーエージェント（User-Agent）
      JavaScript
   3. ネイティブアプリ（Native Application）
      モバイルやデスクトップアプリ（ガイドライン程度しか定義されていない）
   4. 自立クライアント（Autonomous）
      既存の認証フレームワークとSAMLなどのプロトコルを使って連携する場合のフロー。

Bearer Token Usage †

• OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わってなかった - r-weblife
  http://d.hatena.ne.jp/ritou/20110402/1301679908
  • The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
    http://openid-foundation-japan.github.io/rfc6750.ja.html

OAuthの利用例 †

Instagramで共有した写真をFacebookやTwitterにも投稿 †

Instagramの設定画面から複数の外部サービスと連携するように設定できる。

• InstagramはOAuthを用いて外部サービスに代理投稿するアクセス権限を受け取る。
• すると、Instagramは外部サービスに写真を投稿できるようになる。

• 外部サービス
  • Twitter
  • Facebook

Facebook Twitter IDでほかのサイトにログイン †

「Facebook IDでログイン」や「Twitter IDでログイン」といったボタンで利用されている。

• 本来、認証・ID連携のために設計されたものではないが、
  • 外部サービスにユーザのプロフィール情報を取得するAPIが存在する場合、
    このAPIへのアクセス権限を受け取ることで、認証・ID連携の代替が可能。
  • 誤った使い方をして脆弱性を生み出しているケースも多い。

• 外部サービスの認証を信頼する場合
  • Twitter
  • Facebook

The OAuth 2.0 Authorization Framework †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  https://tools.ietf.org/html/rfc6749

• OAuth 2.0 Core & Bearer Spec (RFC 6749 & RFC 6750) 翻訳公開！ - OAuth.jp
  http://oauth.jp/blog/2013/01/23/oauth-20-core-bearer-spec-rfc-rfc-6749-rfc-67/
  • The OAuth 2.0 Authorization Framework
    http://openid-foundation-japan.github.io/rfc6749.ja.html
  • The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
    http://openid-foundation-japan.github.io/rfc6750.ja.html

OAuth 2.0のフロー定義 †

OAuth 2.0仕様には4つのフローが定義されている。
これらのフローのタイプを「グラント種別」と呼ばれる。

• IPA ISEC　セキュア・プログラミング講座：
  Webアプリケーション編　第8章 マッシュアップ：サーバサイドマッシュアップ
  https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/709.html

以下の様な「グラント種別」がある模様。

Authorization Codeグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.1. Authorization Code Grant
  https://tools.ietf.org/html/rfc6749#section-4.1

• Authorization Code Flow

  +----------+
  | Resource |
  |   Owner  |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier      +---------------+
  |         -+----(A)-- & Redirection URI ---->|               |
  |  User-   |                                 | Authorization |
  |  Agent  -+----(B)-- User authenticates --->|     Server    |
  |          |                                 |               |
  |         -+----(C)-- Authorization Code ---<|               |
  +-|----|---+                                 +---------------+
    |    |                                         ^      v
   (A)  (C)                                        |      |
    |    |                                         |      |
    ^    v                                         |      |
  +---------+                                      |      |
  |         |>---(D)-- Authorization Code ---------'      |
  |  Client |          & Redirection URI                  |
  |         |                                             |
  |         |<---(E)----- Access Token -------------------'
  +---------+       (w/ Optional Refresh Token)

Note: The lines illustrating steps (A), (B), and (C) are broken into two parts as they pass through the user-agent.

Implicitグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.2. Implicit Grant
  https://tools.ietf.org/html/rfc6749#section-4.2

• Implicit Grant Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       ^
       |
      (B)
  +----|-----+          Client Identifier     +---------------+
  |         -+----(A)-- & Redirection URI --->|               |
  |  User-   |                                | Authorization |
  |  Agent  -|----(B)-- User authenticates -->|     Server    |
  |          |                                |               |
  |          |<---(C)--- Redirection URI ----<|               |
  |          |          with Access Token     +---------------+
  |          |            in Fragment
  |          |                                +---------------+
  |          |----(D)--- Redirection URI ---->|   Web-Hosted  |
  |          |          without Fragment      |     Client    |
  |          |                                |    Resource   |
  |     (F)  |<---(E)------- Script ---------<|               |
  |          |                                +---------------+
  +-|--------+
    |    |
   (A)  (G) Access Token
    |    |
    ^    v
  +---------+
  |         |
  |  Client |
  |         |
  +---------+

Note: The lines illustrating steps (A) and (B) are broken into two parts as they pass through the user-agent.

Resource Owner Password Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.3

• Resource Owner Password Credentials Flow

  +----------+
  | Resource |
  |  Owner   |
  |          |
  +----------+
       v
       |    Resource Owner
      (A) Password Credentials
       |
       v
  +---------+                                  +---------------+
  |         |>--(B)---- Resource Owner ------->|               |
  |         |         Password Credentials     | Authorization |
  | Client  |                                  |     Server    |
  |         |<--(C)---- Access Token ---------<|               |
  |         |    (w/ Optional Refresh Token)   |               |
  +---------+                                  +---------------+

• 補足
  • ASP.NET Identityによる認証サイト = Authorization Server に該当する。
  • Clientは、Authorization Serverの情報を元に認可をする連携サイト（, システム, アプリ）。
  • Resource OwnerはUserIDやPasswordを保持しているユーザやシステム。

Client Credentialsグラント種別 †

• RFC 6749 - The OAuth 2.0 Authorization Framework
  4.3. Resource Owner Password Credentials Grant
  https://tools.ietf.org/html/rfc6749#section-4.4

• Client Credentials Grant

  +---------+                                  +---------------+
  |         |                                  |               |
  |         |>--(A)- Client Authentication --->| Authorization |
  | Client  |                                  |     Server    |
  |         |<--(B)---- Access Token ---------<|               |
  |         |                                  |               |
  +---------+                                  +---------------+

RFC 6749 - 4.3. Resource Owner Password Credentials Grant †

• memo: Force.com : REST API 開発 ユーザ名パスワード OAuth 認証
  http://vaindespair.blogspot.jp/2013/01/blog-post_5252.html
  • Understanding the Username-Password OAuth Authentication Flow
    Force.com REST API Developer Guide | Salesforce Developers
    https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_understanding_username_password_oauth_flow.htm

• Resource Owner Password Credentials Grantについてはコチラ。

RFC 6750 - Bearer Token Usage †

• RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
  https://tools.ietf.org/html/rfc6750

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

OAuthのFlow †

Authorization Code Flow †

Step 0：Client Registration †

準備

• クライアント登録の方法についてはOAuthの仕様では定められていない。
• OAuth Clientは、OAuth Serverに対してアプリ名やドメインなどを添えて自身を登録。
• 通常はOAuth Serverのデベロッパー向けサイトでOAuth Clientを登録する。

• Consumer KeyとConsumer Secret？

Step 1：Initiate †

Flowの開始

• 「Facebook IDでログイン」や「Twitter IDでログイン」といったボタンで開始する。
• OAuth ClientがResource OwnerからAPIアクセス権限の付与を受ける。
• OAuth 1.0とOAuth 2.0とでフローは多少異なる。

Step 2：Authorization Request †

ユーザ認証とアクセス権限付与のリクエスト

• 事前にOAuth ClientはOAuth Serverにアクセスし、未認可のRequest Tokenを取得する。
• OAuth ClientはClient識別情報を付与しResource OwnerをOAuth Serverにリダイレクト
• どのようなClient識別情報が付与されるかは、OAuth 1.0とOAuth 2.0で異なる。

• OAuth 2.0：Request Token
• OAuth 2.0：Client識別情報をclient_idパラメータに含める。

Step 3：Authenticate User & Get Approval †

ユーザ認証とアクセス権限付与

• リダイレクトを受けたOAuth Serverは
  • ユーザを認証（OAuthの仕様には含まれない）する（Request Tokenを認可済にする）。
  • ユーザが使用するOAuth ClientにOAuth Serverへのアクセス権限付与を許可する。

Step 4：Authorization Response †

ユーザ認証とアクセス権限付与の結果をレスポンス

• OAuth ServerはResource OwnerをOAuth Clientにリダイレクトして戻す。

• リダイレクトURLには、アクセス権限を示すトークンが含まれる。
  • OAuth 1.0では、認可済Request Token
  • OAuth 2.0では、Client特性により、2種類のトークン形式が存在する。
    • Web : code
    • Native : access_token

Step 5：Obtain Access Token †

• OAuth 1.0 :
  Request Tokenを実際のアクセス権を示すAccess Tokenと交換する

• OAuth 2.0 :
  Step 4でaccess_tokenを得ていない場合、
  受け取った「アクセス権限を示すトークン」とAccess Tokenを交換。

Step 6：API Access †

APIへのアクセス

• Access Token使ってAPIにアクセス。
• Access Tokenは期限切れ、無効化されるまで利用可能。

参考 †

1.0 †

• OAuth Core 1.0
  http://oauth.net/core/1.0/
• OAuth - Wikipedia
  https://ja.wikipedia.org/wiki/OAuth#OAuth_2.0

• ゼロから学ぶOAuth：特集｜gihyo.jp … 技術評論社
  http://gihyo.jp/dev/feature/01/oauth
  • 第1回　OAuthとは？―OAuthの概念とOAuthでできること
    http://gihyo.jp/dev/feature/01/oauth/0001
  • 第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）
    http://gihyo.jp/dev/feature/01/oauth/0002
  • 第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）
    http://gihyo.jp/dev/feature/01/oauth/0003
  • 第4回　OAuth Service Providerの実装
    http://gihyo.jp/dev/feature/01/oauth/0004

2.0 †

• デジタル・アイデンティティ技術最新動向 連載インデックス - ＠IT
  http://www.atmarkit.co.jp/fsecurity/index/index_digid.html
  • デジタル・アイデンティティ技術最新動向（1）：「OAuth」の基本動作を知る - ＠IT
    • http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
    • http://www.atmarkit.co.jp/ait/articles/1208/27/news129_2.html

• OAuth 2.0でWebサービスの利用方法はどう変わるか - ＠IT
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/01.html
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html
  • http://www.atmarkit.co.jp/fsmart/articles/oauth2/03.html

• OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
  OAuth 2.0 Authorization Code Flow
  http://www.slideshare.net/kura_lab/openid-connect-id/21

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.138 sec.