UserAgentでOAuth2のTokenを取得するベスト・プラクティス のバックアップ差分(No.2)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 現在との差分 を表示
• ソース を表示
• バックアップ を表示
• UserAgentでOAuth2のTokenを取得するベスト・プラクティス へ行く。
  • 1 (2018-02-16 (金) 13:33:03)
  • 2 (2018-02-16 (金) 16:37:25)
  • 3 (2018-02-16 (金) 19:12:53)
  • 4 (2018-02-16 (金) 19:58:44)
  • 5 (2018-02-20 (火) 11:40:31)
  • 6 (2018-02-20 (火) 15:45:27)
  • 7 (2018-02-21 (水) 16:54:33)
  • 8 (2018-02-23 (金) 11:07:00)
  • 9 (2018-02-23 (金) 19:03:23)
  • 10 (2018-03-06 (火) 00:11:47)
  • 11 (2018-03-06 (火) 13:47:53)
  • 12 (2018-03-26 (月) 14:44:05)
  • 13 (2018-10-09 (火) 22:19:57)
  • 14 (2018-11-22 (木) 12:56:47)
  • 15 (2018-12-18 (火) 10:56:53)
  • 16 (2018-12-28 (金) 17:42:35)
  • 17 (2019-02-05 (火) 21:01:12)
  • 18 (2019-03-15 (金) 10:15:02)
  • 19 (2019-04-19 (金) 10:55:19)
  • 20 (2019-07-18 (木) 14:33:18)
  • 21 (2019-09-09 (月) 13:25:03)
  • 22 (2019-12-03 (火) 16:40:53)
  • 23 (2020-02-22 (土) 20:52:00)
  • 24 (2021-05-24 (月) 13:07:06)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OAuth]]
-[[戻る>OAuth#jec853e3]]

* 目次 [#v8b8e49a]
#contents

*概要 [#d531ad5d]
UserAgentでOAuth2のTokenを取得するベスト・プラクティス~
（UserAgentから、直接、Resource ServerのWebAPIにアクセスする）

*詳細 [#l33d0f36]
**SPA [#q18ff74d]
***Implicitが使用できる。 [#g8b68319]
-[[Implicitグラント種別>OAuth#m5c2d510]]
-[[Implicit Flow>OpenID Connect#e7adf5c2]]

**スマホ [#m0aacf50]
***Implicitは使用できない。 [#ubdf2972]
-[[Implicitグラント種別>OAuth#m5c2d510]]
-[[Implicit Flow>OpenID Connect#e7adf5c2]]

***以下のどちらかを使用する。 [#jefeac9f]
-使用可能なフロー
--[[OAuth PKCE]]
--[[Hybrid Flow>OpenID Connect#l565139a]]

-ポイント
--入手したcodeはClientのServer側にポストして使用
--[[Hybrid Flow>OpenID Connect#l565139a]]では、
---codeとtokenのscope（認可された権限）を変える。
---FAPIでは、token：参照系、code：更新系などとなっている。

***[[Financial API (FAPI)>#q58a3e42]]も策定中。 [#q58a3e42]

**[[Financial API (FAPI)]] [#q58a3e42]
-金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。
-現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。

*参考 [#t3d9eecd]
-OAuth for Native Apps | GREE Engineers' Blog~
http://labs.gree.jp/blog/2015/12/14831/

-知っておきたい7つのID連携実装パターン - Yahoo! JAPAN Tech Blog~
https://techblog.yahoo.co.jp/web/auth/id_federation_impl_patterns/
>
+スタンダードなブラウザーパターン
+推奨したいネイティブアプリとブラウザーパターン
+画面遷移がシンプルなネイティブアプリとWebViewパターン
+フィッシング防止なWebViewアプリとブラウザーパターン
+WebViewアプリ完結パターン
+実装が大変だけどより汎用的なハイブリッドアプリとブラウザーパターン
+汎用的なハイブリッドアプリとWebViewパターン

-OAuth2/OIDCの認証にWebViewはダメっぽい。

--OAuthなプラットフォームの中の人が椅子を投げたくなるアプリの実装 - r-weblife~
http://d.hatena.ne.jp/ritou/20120619/1340101421
--Google、WebViewからのOAuth認証リクエストをブロックへ | スラド セキュリティ~
https://security.srad.jp/story/16/08/30/0636245/
---WebViewでGoogleアカウントのOAuth認証が使えなくなる問題~
https://techracho.bpsinc.jp/hachi8833/2016_09_01/25471
---AndroidからGoogle Service OAuth2.0の利用で詰んでいる~
http://awwa500.blogspot.jp/2012/12/androidgoogle-service-oauth20.html

--代替の提案としては、以下のモノがある。~
---Chrome Custom Tabs（Android向け）~
https://developer.chrome.com/multidevice/android/customtabs
---SFSafariViewController（iOS向け）~
https://developer.apple.com/library/ios/documentation/SafariServices/Reference/SFSafariViewController_Ref/

**仕様 [#yba7af6f]

***[[スマホ向けベストプラクティス (RFC 8252 ... OAuth 2.0 for Native Apps)>OAuth 2.0 for Native Apps]] [#q93a1734]

***[[認可コード横取り攻撃への対抗策 (RFC 7636 ... OAuth PKCE)>OAuth PKCE]] [#h47e1abd]

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.006 sec.