- 追加された行はこの色です。
- 削除された行はこの色です。
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。
-[[戻る>OAuth#q93a1734]]
-[[戻る>UserAgentでOAuth2のTokenを取得するベスト・プラクティス]]
* 目次 [#sb94521c]
#contents
*概要 [#n67c1874]
-Nativeアプリ(スマホ)からの[[OAuth]] 2.0 は、
--認可リクエストを、外部Webブラウザを経由してのみ行う。
--外部Webブラウザとの連携には基本的に「Custom URL Scheme」を使用する。
--埋め込まれたUserAgent(WebViewなど)は、[[諸事情>#zb80abe1]]により使用しない。
-なお、Hybridアプリは、この仕様の目的ではNativeアプリ(スマホ)と同等。
*詳細 [#a81a5883]
**埋め込まれたUserAgent(WebView)を使用してはいけない理由 [#zb80abe1]
***IdPのSessionを盗むことができる。 [#oaec5a81]
IdPのSessionをClientが盗む事ができ、Sessionが有効な間、SSO可能な状態が持続する。
**Nativeアプリ(スマホ)と外部Webブラウザの連携方法 [#kabe17d0]
***Custom URL Scheme [#m733bd4e]
-アプリケーションが受け取る独自のURLスキームを事前にシステムに登録する方式。
-複数のアプリが通常同じスキームを登録できるため、~
どのアプリが認証コードを受け取るかについて不確定。~
(Custom URL Scheme上書き攻撃)
***Loopback Interface Redirection [#e907b06d]
-ローカル・ループバックでHTTPリクエスを受け取る方式。
-一部のOSで同じローカル・ループバックにアクセスする、~
他のアプリの傍受の影響を受ける可能性がある。
***Claimed Https Scheme URI Redirection [#we803830]
-???方式
-URI権限の存在によりURI傍受の影響を受けにくいが、
--アプリはまだパブリッククライアントであり、
--仕様が不明瞭なOSのURIディスパッチハンドラを使用しURIが送信される可能性がある。
***アプリ内ブラウザタブ [#u539cb30]
*参考 [#t35a0dca]
**仕様 [#w27f303b]
-RFC 8252 - OAuth 2.0 for Native Apps~
https://tools.ietf.org/html/rfc8252
**関連 [#i2c4b810]
***[[OAuth PKCE]] [#sfc027c9]
----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]