「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
認可コード横取り攻撃 (authorization code interception attack) への対策
+-------------------+ | Authz Server | +--------+ | +---------------+ | | |--(A)- Authorization Request ---->| | | | | + t(code_verifier), t_m | | Authorization | | | | | | Endpoint | | | |<-(B)---- Authorization Code -----| | | | | | +---------------+ | | Client | | | | | | +---------------+ | | |--(C)-- Access Token Request ---->| | | | | + code_verifier | | Token | | | | | | Endpoint | | | |<-(D)------ Access Token ---------| | | +--------+ | +---------------+ | +-------------------+
# | パラメタ | 要否 | 説明 |
1 | code_challenge | 必須 | Code Verifier を元に計算された Code Challenge の値 |
2 | code_challenge_method | 任意 | Code Challenge の計算に用いるメソッド。plain (デフォルト) もしくは S256。 |
# | パラメタ | 要否 | 説明 |
1 | code_verifier | 必須 | Code Challenge の元となった Code Verifier の値 |
Tags: :認証基盤, :クレームベース認証, :OAuth