- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>OAuth 2.0 Threat Model and Security Considerations]]
* 目次 [#db7f0327]
#contents
*概要 [#yb50747c]
OAuth 2.0 Threat Model and Security Considerationsの一般的なセキュリティ考慮事項。
OAuth 2.0 Threat Model and Security Considerationsの~
一般的なすべてのOAuthコンポーネントに適用されるセキュリティ考慮事項。
*要求の機密性を確保 [#y533fd4f]
**対象 [#p4a1eecd]
要求
-Client(UserAgent)からAuthorization Server
-Client(UserAgent)からResources Server
**脅威 [#o5c4480e]
各種トークンの傍受攻撃または再生攻撃が可能になる。
**対策 [#dd3c9c49]
SSL/TLSを利用する。
*サーバ認証 [#rf5914dc]
**対象 [#u74c2000]
各種サーバ
-Authorization Server
-Client(Web application)
-Resources Server
**脅威 [#n12327fc]
偽造サーバへの誘導
**対策 [#t2aa0101]
SSL/TLS(サーバ証明)の利用
*常にResources Ownerに通知 [#l3bff01f]
**対象 [#x1fd1840]
を認識する可能性
-非対話的フローでの認可
-リフレッシュ
-, etc.
**脅威 [#c99e7969]
特定の種類の攻撃
**対策 [#qa143eb2]
-認可画面の表示
-Notification messages (email, SMS)~
通知はフィッシング媒介になる可能性があることに注意
-アクティビティ/イベントログ
-ユーザ・セルフケア・ポータル
----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
