OAuth のバックアップの現在との差分(No.63)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• ソース を表示
• バックアップ を表示
• OAuth へ行く。
  • 1 (2016-01-14 (木) 13:18:06)
  • 2 (2016-01-14 (木) 13:44:11)
  • 3 (2016-01-19 (火) 15:56:07)
  • 4 (2016-01-19 (火) 19:30:50)
  • 5 (2016-01-22 (金) 12:30:00)
  • 6 (2016-01-26 (火) 13:35:31)
  • 7 (2016-03-09 (水) 12:28:21)
  • 8 (2016-12-12 (月) 14:15:17)
  • 9 (2016-12-12 (月) 17:36:37)
  • 10 (2016-12-13 (火) 18:58:41)
  • 11 (2016-12-14 (水) 17:45:45)
  • 12 (2016-12-14 (水) 23:23:05)
  • 13 (2016-12-15 (木) 09:23:26)
  • 14 (2016-12-16 (金) 11:46:45)
  • 15 (2016-12-16 (金) 14:55:22)
  • 16 (2016-12-16 (金) 17:53:02)
  • 17 (2016-12-16 (金) 22:52:17)
  • 18 (2016-12-19 (月) 22:55:54)
  • 19 (2016-12-20 (火) 13:08:00)
  • 20 (2016-12-20 (火) 15:52:24)
  • 21 (2016-12-22 (木) 13:36:30)
  • 22 (2017-01-04 (水) 11:23:36)
  • 23 (2017-01-04 (水) 15:46:01)
  • 24 (2017-01-06 (金) 13:34:13)
  • 25 (2017-01-07 (土) 16:52:23)
  • 26 (2017-01-08 (日) 18:17:22)
  • 27 (2017-01-13 (金) 21:04:03)
  • 28 (2017-01-15 (日) 13:42:10)
  • 29 (2017-02-07 (火) 12:03:42)
  • 30 (2017-03-03 (金) 21:40:48)
  • 31 (2017-05-08 (月) 11:37:42)
  • 32 (2017-05-22 (月) 10:35:09)
  • 33 (2017-05-26 (金) 13:48:31)
  • 34 (2017-05-26 (金) 14:38:20)
  • 35 (2017-05-29 (月) 12:47:32)
  • 36 (2017-07-04 (火) 17:29:55)
  • 37 (2017-07-16 (日) 14:18:25)
  • 38 (2017-10-23 (月) 09:35:07)
  • 39 (2017-11-14 (火) 12:03:26)
  • 40 (2017-11-14 (火) 14:33:08)
  • 41 (2017-11-14 (火) 18:39:22)
  • 42 (2017-11-17 (金) 17:48:08)
  • 43 (2017-11-17 (金) 19:11:15)
  • 44 (2017-11-20 (月) 18:56:03)
  • 45 (2017-11-30 (木) 13:56:39)
  • 46 (2017-11-30 (木) 18:39:43)
  • 47 (2017-12-04 (月) 11:33:47)
  • 48 (2017-12-06 (水) 12:57:07)
  • 49 (2017-12-07 (木) 10:13:39)
  • 50 (2017-12-07 (木) 15:02:22)
  • 51 (2017-12-08 (金) 09:35:52)
  • 52 (2017-12-08 (金) 18:00:14)
  • 53 (2017-12-11 (月) 11:51:20)
  • 54 (2017-12-12 (火) 10:02:44)
  • 55 (2017-12-18 (月) 21:51:16)
  • 56 (2017-12-20 (水) 15:16:52)
  • 57 (2018-02-04 (日) 14:13:01)
  • 58 (2018-02-15 (木) 10:59:10)
  • 59 (2018-02-16 (金) 13:48:42)
  • 60 (2018-02-27 (火) 18:44:00)
  • 61 (2018-03-05 (月) 13:06:37)
  • 62 (2018-03-05 (月) 16:27:04)
  • 63 (2018-03-06 (火) 13:21:30)
  • 64 (2018-03-13 (火) 15:27:05)
  • 65 (2018-03-16 (金) 17:29:32)
  • 66 (2018-03-16 (金) 22:00:39)
  • 67 (2018-03-20 (火) 21:41:55)
  • 68 (2018-03-23 (金) 11:30:53)
  • 69 (2018-04-05 (木) 09:30:29)
  • 70 (2018-08-21 (火) 21:28:03)
  • 71 (2018-10-09 (火) 18:27:19)
  • 72 (2018-10-09 (火) 22:13:44)
  • 73 (2018-10-10 (水) 09:48:42)
  • 74 (2018-10-10 (水) 16:21:01)
  • 75 (2018-10-11 (木) 11:49:38)
  • 76 (2018-10-17 (水) 17:53:01)
  • 77 (2018-11-22 (木) 10:20:59)
  • 78 (2018-11-22 (木) 16:16:19)
  • 79 (2018-12-18 (火) 10:59:37)
  • 80 (2019-03-01 (金) 11:03:10)
  • 81 (2019-03-04 (月) 12:45:27)
  • 82 (2019-04-02 (火) 20:21:36)
  • 83 (2019-05-08 (水) 23:25:03)
  • 84 (2019-10-23 (水) 10:28:28)
  • 85 (2019-11-28 (木) 17:01:25)
  • 86 (2020-02-23 (日) 17:52:46)
  • 87 (2020-03-10 (火) 17:21:43)
  • 88 (2020-03-12 (木) 11:35:54)

---

• 追加された行はこの色です。
• 削除された行はこの色です。

「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>OpenID / OAuth / OpenID Connect]]

* 目次 [#qc1590f2]
#contents

*概要 [#ff7046a2]
ここでは、基本的に、OAuth 2.0について言及する。
[[OAuth 1.0>#eb4fd2ef]]と[[OAuth 2.0>#h8e684ba]]にページを分割しました。

OAuth 2.0は、認証ではなく認可のためのプロトコル（権限委譲プロトコル）。

-[[Authorization Server>#a2ff14fb]]の設置により、[[Resource Owner>#qe857228]]と[[Client>#b4b4c0bd]]を分離することができる。

-これにより、[[Resource OwnerのCredentials>#m0ca183e]]を[[Client>#b4b4c0bd]]に渡す必要が無くなる。

-[[Resource Owner>#qe857228]]は、[[Authorization Server>#a2ff14fb]]によって、[[Client>#b4b4c0bd]]の[[Resource Server>#n1c92dc2]]へのアクセスを認可できるようになる。

*変遷 [#k3aeda5b]
**OAuth 1.0 [#eb4fd2ef]

**[[OAuth 1.0]] [#eb4fd2ef]
-OpenIDを使ってTwitterやMa.gnoliaのAPIの認証委譲する方法を議論を開始。

-2007/4~
OAuthのコミュニティが誕生。

-2007/7~
OAuthの仕様の草案が完成。

-2007/10~
OAuth Core 1.0 の最終草案がリリース。

-2008/11~
第73回のIETF会合でOAuthの非公式会合も開かれ、~
IETFにOAuthプロトコルを提案するかどうかを議論。

-2009/4/23~
OAuth 1.0のセキュリティ問題が判明。~
この問題は、OAuth 1.0aで修正された。

**OAuth 2.0 [#h8e684ba]
-OAuth 1.0とは後方互換性を持たない。
**[[OAuth 2.0]] [#h8e684ba]
-[[OAuth 1.0>#eb4fd2ef]]とは後方互換性を持たない。
-次世代のOAuthプロトコルとして、2012年にRFCとして発行された。

**OAuth 1.0とOAuth 2.0の違い [#s44d10cb]
***概要 [#hcedd1fd]
+HTTPSを必須にし、署名をなくし、トークン取得も簡略化
+[[Access Token>#jb722a87]]のみでリソース取得が可能に
**[[OpenID Connect]] [#q13700e0]

**[[OAuth 2.1]] [#y3fecccd]

**[[OAuth XYZ(3.0)>Transactional Authorization(XYZ)]] [#d0c682a4]

*違い [#c9173f21]

**[[OAuth 1.0>#eb4fd2ef]]と[[OAuth 2.0>#h8e684ba]]の違い [#s44d10cb]
+HTTPSを必須にし、署名をなくし、Token取得も簡略化
+[[Access Token>OAuth 2.0#jb722a87]]のみでリソース取得が可能に
+Webアプリも含め、4つのClient Profileを仕様化
++Webサーバ（Web Server）~
Webアプリケーション
++User Agentベースアプリケーション~
WWWブラウザ上のJavaScript
++ネイティブアプリ（Native Application）~
モバイルやデスクトップアプリ（ガイドライン程度しか定義されていない）
++自立クライアント（Autonomous）~
既存の認証フレームワークとSAMLなどのプロトコルを使って連携する場合のフロー。

***参考 [#e6a50b1d]
-OAuth 2.0でWebサービスの利用方法はどう変わるか（2-3）- ＠IT~
http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html
**[[OAuth 2.0>#h8e684ba]]と[[OpenID Connect>#q13700e0]]の違い [#z37db375]
-Tokenが[[JWT]]アサーション形式で暗号化・署名される。

-OAuth 2.0 の仕組みと認証方法 | murashun.jp~
https://murashun.jp/blog/20150920-01.html#chapter-3

-初心者のためのOAuth — OAuthの基本のキ | Rriver~
https://parashuto.com/rriver/development/learning-oauth-basics

-How is OAuth 2 different from OAuth 1? - Stack Overflow~
http://stackoverflow.com/questions/4113934/how-is-oauth-2-different-from-oauth-1

**OAuth 2.0とOpenID Connectの違い [#z37db375]
***概要 [#s805c8ce]
-トークンが[[JWT]]アサーション形式で暗号化・署名される。

-新しく、Hybrid Flowが追加されている。
--Authorization Codeグラント種別 ---> Authorization Code Flow
--Implicitグラント種別 ---> Implicit Flow
--上記の組合せたようなグラント種別 ---> Hybrid Flow
--[[Authorization Codeグラント種別>OAuth 2.0#yfeb403d]] ---> [[Authorization Code Flow>OpenID Connect#mcde509a]]
--[[Implicitグラント種別>OAuth 2.0#m5c2d510]] ---> [[Implicit Flow>OpenID Connect#e7adf5c2]]
--上記の組合せたようなグラント種別 ---> [[Hybrid Flow>OpenID Connect#l565139a]]

-コレ以外にも、多数のオプションが追加されている。

***参考 [#s6e988c9]
-[[OpenID Connect]]

-OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜
--OAuth 2.0 Authorization Code Flow~
---http://www.slideshare.net/kura_lab/openid-connect-id/21
---～ http://www.slideshare.net/kura_lab/openid-connect-id/27
--OpenID Connect Authorization Code Flow~
---http://www.slideshare.net/kura_lab/openid-connect-id/28
---～ http://www.slideshare.net/kura_lab/openid-connect-id/78

*詳細 [#r0608873]
**登場人物 [#zb38b595]
***Resource Owner [#qe857228]
-実体例:ユーザ（人間）
-やること:~
[[Resource OwnerのCredentials>#m0ca183e]]を入力してリソースにアクセスする。

***Client [#b4b4c0bd]
-実体例:
--Resource ServerにアクセスするClient。
--Program
---Webブラウザ
---スマホ ネイティブ
---Webアプリケーション
---, etc.

-やること:
--Authorization Serverの認可を受けてResources Serverのリソースにアクセスする。
--認可レイヤの設置により、認証・認可の役割が分割されたため、~
Resource Owner, Authorization Server, Resource Serverを繋ぐ~
忙しいプログラムになった（だから[[OAuth]]はClient側でも難しい）。

***Authorization Server [#a2ff14fb]
-実体例:認証・認可のサーバー機能（Webアプリケーション）

-やること:
--Authorization Server用の認証チケットの発行を行う。
--Resource Server用の[[Access Token>#jb722a87]]の発行を行う。

***Resource Server [#n1c92dc2]
-実体例:
--リソースアクセスを提供するサーバー機能（WebAPIなど）
--Authorization Serverと別でも良い

-やること:~
[[Access Token>#jb722a87]]を受けてリソースアクセスを提供する。

**プロトコル・フロー [#g723492b]
 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

***(A) Authorization Request [#b5726bb0]
Resource Ownerは、Clientを経由して、Authorization Server（の認証画面）で認証する。

***(B) Authorization Grant [#m6a4436a]
認証後、Clientは、Authorization Serverの[[認可エンドポイント>#s820b1ab]]で認可グラントを受け取る。

***(C) Authorization Grant [#m041f58e]
Clientは、Authorization Serverの[[Tokenエンドポイント>#s820b1ab]]に認可グラントを提示することで、[[Access Token>#jb722a87]]を要求する.

***(D) Access Token [#pcf3e60f]
Authorization Serverは、Clientと 認可グラントが正当であれば、Clientに[[Access Token>#jb722a87]]を発行する。

***(E) Access Token, (F) Protected Resource [#b1d7b608]
Clientは、Resource Serverに[[Access Token>#jb722a87]]を提示してProtected Resourceにアクセスする。

***★ 参考 [#p9f64095]
[[ココのスライド>#s6e988c9]]が参考になる。

**グラント種別毎のフロー [#c8a23ceb]
以下、4つのグラント種別に対応するフローがある。

***Authorization Codeグラント種別 [#yfeb403d]
-概要
--[[Confidential Client>#q08180e3]]のサーバ側から使うフロー。
---認証画面で[[Resource Ownerの認証>#m0ca183e]]をした後、
---[[認可エンドポイント>#s820b1ab]]の"画面"でリソース・アクセスを認可、
---[[Redirectエンドポイント>#ja887509]]で取得した仲介コードを取得する。
---[[Tokenエンドポイント>#s820b1ab]]で仲介コードを使用して[[Access Token>#jb722a87]]と[[Refresh Token>#r3e36f53]]を取得し、
---最後に[[Access Token>#jb722a87]]を使用してResource Serverにアクセスする。

-特徴
--Authorization ServerはClientを認証する。
---仲介コード（code）を使用することで、[[Access Token>#jb722a87]]をUser Agentに露見させずに処理可能。
---[[Access Token>#jb722a87]]の露見防止には、Clientのエンドポイント・コンテンツの実装に依存する。

-通信~
[[RFC>#v698197b]]を読んだほうが良い。
--[[認可リクエスト>http://openid-foundation-japan.github.io/rfc6749.ja.html#code-authz-req]]
---[[認可レスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#code-authz-resp]]
--[[アクセストークン・リクエスト>http://openid-foundation-japan.github.io/rfc6749.ja.html#token-req]]
---[[アクセストークン・レスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor25]]

***Implicitグラント種別 [#m5c2d510]
-概要
--[[Public Client>#q08180e3]]のクライアント側から使うフロー（ただし、サーバ側のエンドポイントは必要）。
---認証画面で[[Resource Ownerの認証>#m0ca183e]]をした後、
---[[認可エンドポイント>#s820b1ab]]でリソース・アクセスを認可、[[Access Token>#jb722a87]]を取得する。
---（この間のRedirectで、[[Access Token>#jb722a87]]が露見する。）
---[[Redirectエンドポイント>#ja887509]]では、[[Access Token>#jb722a87]]を[[Public  Client>#q08180e3]]に返す。
---最後に[[Access Token>#jb722a87]]を使用してResource Serverにアクセスする。

-特徴
--Authorization ServerはClientを認証しない。
---[[認可エンドポイント>#s820b1ab]]と[[Redirectエンドポイント>#ja887509]]間のラウンドトリップが少なく、応答性に優れる。
---反面、仲介コード（code）を使用しないため、[[Access Token>#jb722a87]]が、~
User Agentに露見するセキュリティのトレードオフがある（[[10.3>http://openid-foundation-japan.github.io/rfc6749.ja.html#AccessTokenSecurity]]、[[10.16>http://openid-foundation-japan.github.io/rfc6749.ja.html#ImplicitImpersonation]]）。
---[[Access Token>#jb722a87]]の拡散防止には、Clientのエンドポイント・コンテンツの実装に依存する。

-通信~
[[RFC>#v698197b]]を読んだほうが良い。
--[[認可リクエスト>http://openid-foundation-japan.github.io/rfc6749.ja.html#implicit-authz-req]]
---[[アクセストークン・レスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#implicit-authz-resp]]

***Resource Owner Password Credentialsグラント種別 [#zfff6f89]
-概要
--[[ベース クライアント セキュリティ モデル]]みたいなもんだが、~
以下のようにあるため、本グラント種別の利用は、特殊なケースに留める。
>「この認可タイプを使用可能にするときには特に注意を払い、~
他のフローが実行可能でない場合にのみ許可する必要があります。」

--[[Resource OwnerのCredentials>#m0ca183e]]をClientに送る。
--Clientは、[[Resource OwnerのCredentials>#m0ca183e]]を[[認可エンドポイント>#s820b1ab]]に送る。
--Clientは[[Access Token>#jb722a87]]を取得してResource Serverにアクセスする。

-特徴
--[[Resource OwnerのCredentials>#m0ca183e]]をClientに送ってしまう。
--従って、Confidential Clientから使用する。
---Resource OwnerとClientの間に高い信頼関係があること。
---Authorization Serverは、Clientを認証すること。
--以下のような、特殊なケースに留める。
---OAuth2.0 への移行段階。
---[[Authorization Codeグラント種別>#yfeb403d]]のフローを使用できないようなケース。~
例えば、[[Public Client>#q08180e3]]からClientのサーバ側エンドポイント以外に直接アクセスできないようなケース。

-通信~
[[RFC>#v698197b]]を読んだほうが良い。
--[[認可リクエストとレスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor26]]
--[[アクセストークン・リクエスト>http://openid-foundation-japan.github.io/rfc6749.ja.html#password-tok-req]]
---[[アクセストークン・レスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor27]]

***Client Credentialsグラント種別 [#o9473080]
-概要
--[[サーバ信頼セキュリティ モデル]]みたいなもん。
--Clientは、[[ClientのCredentials>#i7b73962]]を[[認可エンドポイント>#s820b1ab]]に送る。
--Clientは[[Access Token>#jb722a87]]を取得してResource Serverにアクセスする。

-特徴
--Clientと Authorization Server間で調整済みの、~
Clientの保有するリソースにアクセスする場合に使用する。
--従って、Confidential Clientから使用する。
---Authorization Serverは、Clientを認証すること。

-通信~
[[RFC>#v698197b]]を読んだほうが良い。
--[[認可リクエストとレスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor28]]
--[[アクセストークン・リクエスト>http://openid-foundation-japan.github.io/rfc6749.ja.html#client-req]]
---[[アクセストークン・レスポンス>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor29]]

**Clientについて [#aab02700]
***種類 [#q08180e3]
-[[Client Credentials>#i7b73962]]の機密性保持能力による分類
--Confidential~
[[Client Credentials>#i7b73962]]の機密性を維持可能なClient
---アクセスの制限されたサーバー

--Public~
[[Client Credentials>#i7b73962]]の機密性を維持不可能なClient
---WWWブラウザ
---ネイティブ・アプリケーション
---Resource Ownerのデバイスにインストールされたアプリケーション

-Client Profile（クライアント属性）による分類
--Confidential
---Webアプリケーション
--Public
---ネイティブ・アプリケーション
---User Agentベースアプリケーション（WWWブラウザ上のJavaScript）

***事前登録 [#keaaae10]
-[[クライアント識別子>#i7b73962]]を使用して、Clientを事前登録する。
-Authorization Codeや、Implicitグラント種別の[[Redirectエンドポイント>#ja887509]]
--client_idに対応する[[Redirectエンドポイント>#ja887509]]のURL（絶対パスを）事前登録する。
--動的設定では部分一致をサポートするが、オープンリダイレクト脆弱性がある。

**認可用のCredentials（Token） [#vc4e6813]

***Access Token [#jb722a87]
[[RFC>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor8]]を読むと、
-保護されたリソースにアクセスするために使用されるCredential。
-Authorization ServerによってClientに対して発行されるランダムな文字列。
-アクセス範囲とアクセス期間を表す。
-発行はResource Ownerによって許可される。
-Authorization Serverの[[Tokenエンドポイント>#s820b1ab]]が発行し、
-Resource Serverへの要求に対して、以下の様な形式で送信される。

 GET /resource/1 HTTP/1.1
 Host: example.com
 Authorization: Bearer XXXXXXXXXX

***Refresh Token [#r3e36f53]
[[RFC>http://openid-foundation-japan.github.io/rfc6749.ja.html#anchor9]]を読むと、
-[[Access Token>#jb722a87]]の無効化・期限切れの際に新しい[[Access Token>#jb722a87]]取得するために使用されるCredential。
-Authorization ServerによってClientに対して発行されるランダムな文字列。
-[[Refresh Token>#r3e36f53]]の発行はオプションであり、[[Access Token>#jb722a87]]に[[Refresh Token>#r3e36f53]]も含まれる。
-[[Access Token>#jb722a87]]と異なり、Resource Serverに送信されることはない。

***Accessトークンのタイプ [#i5f79713]
-Bearer Token 
--署名無しトークン（[[Access Token>#jb722a87]]は基本的にBearer Token）
--トークンが誰に対して発行されたのかを確認せずに、~
「トークンを持っていること」をベースに API 利用を許可する。
--∴ 利用する際、暗号鍵の所持を証明するよう要求されない。

--参考
---OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わってなかった - r-weblife~
http://d.hatena.ne.jp/ritou/20110402/1301679908
---The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）~
http://openid-foundation-japan.github.io/rfc6750.ja.html

- MAC Token
--アクセストークンと共にMessage Authentication Code (MAC)キーを発行する。
--MACキーはHTTPリクエストの一部分を署名するのに利用される。

--参考
---draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authentication Code (MAC) Tokens~
https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac

**認証用のCredentials [#wdad8a4e]

***Resource Owner [#m0ca183e]
Resource Ownerの認証用のCredentialsはOAuth 2.0 仕様の外~
（Authorization ServerはユーザID、パスワードなどを使用してResource Ownerを認証）

***Client [#i7b73962]
Clientの認証用のCredentials~
（Authorization ServerはこれによりClientを認証）

-クライアント識別子~
クライアント識別子（2つのセット）の情報は、URIで送信しない。
--client_id（1つだけの場合、URIに露見する）
--client_secret（URIに露見しない、させない）

-認証方法
--ベーシック認証などのパスワードベースのHTTP認証スキーム
--HTTP認証スキームを使用できない場合にPOSTを使用する（非推奨）。

**エンドポイントの種類 [#h4dcb0c7]
URLは仕様で規定されない。

***Authorization Server上のエンドポイント [#s820b1ab]

-認可エンドポイント
--概要
---Resource Ownerを認可するエンドポイント
---認証画面ではないので注意（認証結果を見て認可する）。
---仲介コードや、[[Access Token>#jb722a87]]を発行するエンドポイント。
--特徴
---HTTPSのGETを使用する。
---Authorization Codeや、Implicitグラント種別で使用する。

-Tokenエンドポイント
--概要~
[[Access Token>#jb722a87]]・[[Refresh Token>#r3e36f53]]を発行するエンドポイント。
--特徴
---HTTPSのPOSTを使用する。
---Implicitグラント種別を除く、他の全てのグラント種別で使用する。~
Implicitグラント種別では、[[認可エンドポイント>#s820b1ab]]で[[Access Token>#jb722a87]]を返す。

***Client上のエンドポイント [#ja887509]
Redirectエンドポイント

-概要~
エンドポイント・コンテンツを返す。

-特徴
--HTTPSのGETを使用する。
--Authorization Codeや、Implicitグラント種別で使用する。

-注意点
--Authorization Codeでは、なるべくエンドポイント・コンテンツにトークンが露見しないようにする。
--Implicitグラントなど、トークンがコンテンツに露見してしまう場合、以下に従い拡散を防止する。
---コンテンツには、3rd partyのscriptを含めるべきでない。
---Client自身のscriptが初回に実行されるようにすること。
---URIからトークンを抽出し、露見しないように他へPOSTしBodyに含めるなどする。

**Requestパラメタ [#xd504f07]

***response_typeパラメタ [#l1d2572d]
[[認可エンドポイント>#s820b1ab]]にGETで送付する。~
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。

|項番|グラント種別|パラメタ値|意味|h
|１|Authorization Code|code|仲介コードを要求|
|２|Implicit|token|[[Access Token>#jb722a87]]を要求|

-参考：[[OpenID Connect]]によって、[[追加された、response_type>#gd28c140]]。

***client_id, client_secretパラメタ [#ha9ff05e]
Clientの識別や認証のために、色々な所で使用されるパラメタ。

-[[コチラ>#i7b73962]]を参照。

-用途
--[[認可エンドポイント>#s820b1ab]]
---client_idとredirect_uriの対応をチェックする。
--[[Redirectエンドポイント>#ja887509]]
---次の[[Tokenエンドポイント>#s820b1ab]]に渡す。
--[[Tokenエンドポイント>#s820b1ab]]
---Clientの認証を行なう。

***redirect_uriパラメタ [#t71d0e79]
client_idに対応する[[Redirectエンドポイント>#ja887509]]を指定するために指定するパラメタ。

-[[Redirectエンドポイント>#ja887509]]を使用する、Authorization Code, Implicitグラント種別で使用する。
-[[認可エンドポイント>#s820b1ab]]にGETを送付するときに、部分一致するオプション値として絶対パスで指定する。
-指定した際は、[[Tokenエンドポイント>#s820b1ab]]まで、引き継がれチェックに使用される。

***grant_typeパラメタ [#p23cde9e]
[[Tokenエンドポイント>#s820b1ab]]にPOSTを送付するときに指定するパラメタ。~
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。

|項番|グラント種別|パラメタ値|h
|１|Authorization Code|authorization_code|
|２|Resource Owner Password Credentials|password|
|３|Client Credentials|client_credentials|
|４|上記１、２、３のグラント種別でRefreshトークンを使用する際|refresh_token|

***scopeパラメタ [#qd3e1385]

-Authorization Codeグラント種別
--[[認可エンドポイント>#s820b1ab]]にGETで送付する。
--送信前に、画面で認可scopeをResource Ownerに提示する。

-Implicitグラント種別
--[[認可エンドポイント>#s820b1ab]]にGETで送付する。
--異なるscopeの[[Access Token>#jb722a87]]を取得した場合、Responseにscopeパラメタを付与する。

-Resource Owner Password Credentialsグラント種別
--[[Tokenエンドポイント>#s820b1ab]]にPOSTで送付する。
--異なるscopeの[[Access Token>#jb722a87]]を取得した場合、Responseにscopeパラメタを付与する。

-Client Credentialsグラント種別
--[[Tokenエンドポイント>#s820b1ab]]にPOSTで送付する。
--異なるscopeの[[Access Token>#jb722a87]]を取得した場合、Responseにscopeパラメタを付与する。

***stateパラメタ [#wbfa8d08]
[[CSRF>#bd3a67e8]]のセキュリティ対策に使用が推奨されるパラメタ。

-概要
--[[認可エンドポイント>#s820b1ab]]にGETを送付するときに指定する。
--[[Redirectエンドポイント>#ja887509]]を使用する、Authorization Code, Implicitグラント種別で使用する。
--以降のやり取りでも引き継がれて使用される（値は変更しないこと）。

-要件
--推測困難な文字列である必要がある。（ワンタイム性は必須ではない）

-参考
--OAuth 2.0のstateとredirect_uriとOpenID ConnectのnonceとID Tokenについて - r-weblife~
http://d.hatena.ne.jp/ritou/20121008/1349695124
---CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例 - 徳丸浩の日記(2011-01-27)~
http://www.tokumaru.org/d/20110127.html

**Responseパラメタ [#idca7e43]
code, access_token, refresh_token

|項番|パラメタ値|意味|h
|１|code|access_tokenを取得するためのtokenで、Authorization Codeグラント種別でのみ使用する。|
|２|access_token|[[コチラを参照>#jb722a87]]|
|３|refresh_token|[[コチラを参照>#r3e36f53]]|

*参考 [#sd7d7875]
-OAuth - Wikipedia~
https://ja.wikipedia.org/wiki/OAuth

**OAuth 1.0 [#b6b38b34]
-初心者のためのOAuth — OAuthの基本のキ | Rriver~
https://parashuto.com/rriver/development/learning-oauth-basics

-OAuth Core 1.0~
http://oauth.net/core/1.0/
-How is OAuth 2 different from OAuth 1? - Stack Overflow~
http://stackoverflow.com/questions/4113934/how-is-oauth-2-different-from-oauth-1

-ゼロから学ぶOAuth：特集｜gihyo.jp … 技術評論社~
http://gihyo.jp/dev/feature/01/oauth
--第1回　OAuthとは？―OAuthの概念とOAuthでできること~
http://gihyo.jp/dev/feature/01/oauth/0001
--第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）~
http://gihyo.jp/dev/feature/01/oauth/0002
--第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）~
http://gihyo.jp/dev/feature/01/oauth/0003
--第4回　OAuth Service Providerの実装~
http://gihyo.jp/dev/feature/01/oauth/0004
-IETF106参加記録 - OAuthの未来｜株式会社レピダム~
https://lepidum.co.jp/blog/2019-12-03/future-of-oauth/

**OAuth 2.0 [#q09835d5]
-[[The OAuth 2.0 Authorization Framework>#v698197b]]

-OAuth 2.0 の仕組みと認証方法 | murashun.jp~
https://murashun.jp/blog/20150920-01.html

-OAuth 2.0の代表的な利用パターンを仕様から理解しよう - Build Insider~
http://www.buildinsider.net/enterprise/openid/oauth20

***＠IT [#n0d6d892]
**＠IT [#n0d6d892]
-デジタル・アイデンティティ技術最新動向 連載インデックス~
http://www.atmarkit.co.jp/fsecurity/index/index_digid.html
--デジタル・アイデンティティ技術最新動向（1）：「OAuth」の基本動作を知る
---http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
---http://www.atmarkit.co.jp/ait/articles/1208/27/news129_2.html

-OAuth 2.0でWebサービスの利用方法はどう変わるか
--http://www.atmarkit.co.jp/fsmart/articles/oauth2/01.html
--http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html
--http://www.atmarkit.co.jp/fsmart/articles/oauth2/03.html

***Qiita [#rde475d1]
-OAuth 2.0 の仕様を読むために - Qiita~
http://qiita.com/awakia/items/66975de18ba25f18a961
-色々な OAuth のフローと doorkeeper gem での実装 - Qiita~
http://qiita.com/tyamagu2/items/5aafff7f6ae0a9ec94aa

***slideshare [#o0d0ea56]
-今更聞けないOAuth2.0~
http://www.slideshare.net/ph1ph2sa25/oauth20-46144252

-OpenID Connect 入門 〜コンシューマーにおけるID連携のトレンド〜~
OAuth 2.0 Authorization Code Flow~
http://www.slideshare.net/kura_lab/openid-connect-id/21

***[[OAuth 2.0 拡張]] [#s986286e]

**[[Microsoft Azure Active Directory]] [#f331a146]

----
Tags: [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認証]], [[:OAuth]]

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.129 sec.