OAuth のバックアップ(No.68)

HTTPSを必須にし、署名をなくし、Token取得も簡略化
Access Tokenのみでリソース取得が可能に
Webアプリも含め、4つのClient Profileを仕様化
1. Webサーバ（Web Server）
  Webアプリケーション
2. User Agentベースアプリケーション
  WWWブラウザ上のJavaScript
3. ネイティブアプリ（Native Application）
  モバイルやデスクトップアプリ（ガイドライン程度しか定義されていない）
4. 自立クライアント（Autonomous）
  既存の認証フレームワークとSAMLなどのプロトコルを使って連携する場合のフロー。

↑

参考 †

OAuth 2.0でWebサービスの利用方法はどう変わるか（2-3）- ＠IT
http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html

OAuth 2.0 の仕組みと認証方法 | murashun.jp
https://murashun.jp/blog/20150920-01.html#chapter-3

初心者のためのOAuth — OAuthの基本のキ | Rriver
https://parashuto.com/rriver/development/learning-oauth-basics

How is OAuth 2 different from OAuth 1? - Stack Overflow
http://stackoverflow.com/questions/4113934/how-is-oauth-2-different-from-oauth-1

↑

OAuth 2.0とOpenID Connectの違い †

↑

概要 †

TokenがJWTアサーション形式で暗号化・署名される。

新しく、Hybrid Flowが追加されている。
- Authorization Codeグラント種別 ---> Authorization Code Flow
- Implicitグラント種別 ---> Implicit Flow
- 上記の組合せたようなグラント種別 ---> Hybrid Flow

コレ以外にも、多数のオプションが追加されている。

↑

参考 †

OpenID Connect

OpenID Connect 入門〜コンシューマーにおけるID連携のトレンド〜
- OAuth 2.0 Authorization Code Flow
  - http://www.slideshare.net/kura_lab/openid-connect-id/21
  - ～ http://www.slideshare.net/kura_lab/openid-connect-id/27
- OpenID Connect Authorization Code Flow
  - http://www.slideshare.net/kura_lab/openid-connect-id/28
  - ～ http://www.slideshare.net/kura_lab/openid-connect-id/78

↑

詳細 †

↑

登場人物 †

↑

Resource Owner †

実体例:ユーザ（人間）
やること:
Resource OwnerのCredentialsを入力してリソースにアクセスする。

↑

Client †

実体例:
- Resource ServerにアクセスするClient。
- Program
  - Webブラウザ
  - スマホネイティブ
  - Webアプリケーション
  - , etc.

やること:
- Authorization Serverの認可を受けてResources Serverのリソースにアクセスする。
- 認可レイヤの設置により、認証・認可の役割が分割されたため、
  Resource Owner, Authorization Server, Resource Serverを繋ぐ
  忙しいプログラムになった（だからOAuthはClient側でも難しい）。

↑

Authorization Server †

実体例:認証・認可のサーバー機能（Webアプリケーション）

やること:
- Authorization Server用の認証チケットの発行を行う。
- Resource Server用のAccess Tokenの発行を行う。

↑

Resource Server †

実体例:
- リソースアクセスを提供するサーバー機能（WebAPIなど）
- Authorization Serverと別でも良い

やること:
Access Tokenを受けてリソースアクセスを提供する。

↑

プロトコル・フロー †

+--------+                               +---------------+
|        |--(A)- Authorization Request ->|   Resource    |
|        |                               |     Owner     |
|        |<-(B)-- Authorization Grant ---|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(C)-- Authorization Grant -->| Authorization |
| Client |                               |     Server    |
|        |<-(D)----- Access Token -------|               |
|        |                               +---------------+
|        |
|        |                               +---------------+
|        |--(E)----- Access Token ------>|    Resource   |
|        |                               |     Server    |
|        |<-(F)--- Protected Resource ---|               |
+--------+                               +---------------+

↑

(A) Authorization Request †

Resource Ownerは、Clientを経由して、Authorization Server（の認証画面）で認証する。

↑

(B) Authorization Grant †

認証後、Clientは、Authorization Serverの認可エンドポイントで認可グラントを受け取る。

↑

(C) Authorization Grant †

Clientは、Authorization ServerのTokenエンドポイントに認可グラントを提示することで、Access Tokenを要求する.

↑

(D) Access Token †

Authorization Serverは、Clientと認可グラントが正当であれば、ClientにAccess Tokenを発行する。

↑

(E) Access Token, (F) Protected Resource †

Clientは、Resource ServerにAccess Tokenを提示してProtected Resourceにアクセスする。

↑

★ 参考 †

ココのスライドが参考になる。

↑

グラント種別毎のフロー †

以下、4つのグラント種別に対応するフローがある。

↑

Authorization Codeグラント種別 †

概要
- Confidentialクライアントのサーバ側から使うフロー。
  - 認証画面でResource Ownerの認証をした後、
  - 認可エンドポイントの"画面"でリソース・アクセスを認可、
  - Redirectエンドポイントで取得した仲介コードを取得する。
  - Tokenエンドポイントで仲介コードを使用して
    Access TokenとRefresh Tokenを取得し、
  - 最後にAccess Tokenを使用してResource Serverにアクセスする。

特徴
- Authorization ServerはClientを認証する。
  - 仲介コード（code）を使用することで、Access TokenをUser Agentに露見させずに処理可能。
  - Access Tokenの露見防止には、Clientのエンドポイント・コンテンツの実装に依存する。

通信
RFCを読んだほうが良い。
- 認可リクエスト
  - 認可レスポンス
- アクセストークン・リクエスト
  - アクセストークン・レスポンス

↑

Implicitグラント種別 †

概要
- Publicクライアントのクライアント側から使うフロー（ただし、サーバ側のエンドポイントは必要）。
  - 認証画面でResource Ownerの認証をした後、
  - 認可エンドポイントでリソース・アクセスを認可、Access Tokenを取得する。
  - （この間のRedirectで、Access Tokenが露見する。）
  - Redirectエンドポイントでは、Access TokenをPublicクライアントに返す。
  - 最後にAccess Tokenを使用してResource Serverにアクセスする。

特徴
- Authorization ServerはClientを認証しない。
  - 認可エンドポイントとRedirectエンドポイント間のラウンドトリップが少なく、応答性に優れる。
  - 反面、仲介コード（code）を使用しないため、Access Tokenが、
    User Agentに露見するセキュリティのトレードオフがある（10.3、10.16）。
  - Access Tokenの拡散防止には、Clientのエンドポイント・コンテンツの実装に依存する。

通信
RFCを読んだほうが良い。
- 認可リクエスト
  - アクセストークン・レスポンス

↑

Resource Owner Password Credentialsグラント種別 †

概要
- ベースクライアントセキュリティモデルみたいなもんだが、
  以下のようにあるため、本グラント種別の利用は、特殊なケースに留める。
  「この認可タイプを使用可能にするときには特に注意を払い、
  他のフローが実行可能でない場合にのみ許可する必要があります。」

Resource OwnerのCredentialsをClientに送る。
Clientは、Resource OwnerのCredentialsを認可エンドポイントに送る。
ClientはAccess Tokenを取得してResource Serverにアクセスする。

特徴
- Resource OwnerのCredentialsをClientに送ってしまう。
- 従って、Confidentialクライアントから使用する。
  - Resource OwnerとClientの間に高い信頼関係があること。
  - Authorization Serverは、Clientを認証すること。
- 以下のような、特殊なケースに留める。
  - OAuth2.0 への移行段階。
  - Authorization Codeグラント種別のフローを使用できないようなケース。
    例えば、PublicクライアントからClientのサーバ側エンドポイント以外に直接アクセスできないようなケース。

通信
RFCを読んだほうが良い。
- 認可リクエストとレスポンス
- アクセストークン・リクエスト
  - アクセストークン・レスポンス

↑

Client Credentialsグラント種別 †

概要
- サーバ信頼セキュリティモデルみたいなもん。
- Clientは、ClientのCredentialsを認可エンドポイントに送る。
- ClientはAccess Tokenを取得してResource Serverにアクセスする。

特徴
- Clientと Authorization Server間で調整済みの、
  Clientの保有するリソースにアクセスする場合に使用する。
- 従って、Confidentialクライアントから使用する。
  - Authorization Serverは、Clientを認証すること。

通信
RFCを読んだほうが良い。
- 認可リクエストとレスポンス
- アクセストークン・リクエスト
  - アクセストークン・レスポンス

↑

Clientについて †

↑

種類 †

Client Credentialsの機密性保持能力による分類

Confidentialクライアント
Client Credentialsの機密性を維持可能なClient
- アクセスの制限されたサーバー

Publicクライアント
Client Credentialsの機密性を維持不可能なClient
- WWWブラウザ
- ネイティブ・アプリケーション
- Resource Ownerのデバイスにインストールされたアプリケーション

Client Profile（クライアント属性）による分類

Confidentialクライアント
- Webアプリケーション

Publicクライアント
- ネイティブ・アプリケーション
- SPAなどのUser Agentベースアプリケーション（WWWブラウザ上のJavaScript）

↑

事前登録 †

クライアント識別子を使用して、Clientを事前登録する。
Authorization Codeや、Implicitグラント種別のRedirectエンドポイント
- client_idに対応するRedirectエンドポイントのURL（絶対パスを）事前登録する。
- 動的設定では部分一致をサポートするが、オープンリダイレクト脆弱性がある。

↑

認可用のCredentials（Token） †

↑

Access Token †

RFCを読むと、

保護されたリソースにアクセスするために使用されるCredential。
Authorization ServerによってClientに対して発行されるランダムな文字列。
アクセス範囲とアクセス期間を表す。
発行はResource Ownerによって許可される。
Authorization ServerのTokenエンドポイントが発行し、
Resource Serverへの要求に対して、以下の様な形式で送信される。

GET /resource/1 HTTP/1.1
Host: example.com
Authorization: Bearer XXXXXXXXXX

↑

Refresh Token †

RFCを読むと、

Access Tokenの無効化・期限切れの際に新しいAccess Token取得するために使用されるCredential。
Authorization ServerによってClientに対して発行されるランダムな文字列。
Refresh Tokenの発行はオプションであり、Access TokenにRefresh Tokenも含まれる。
Access Tokenと異なり、Resource Serverに送信されることはない。

↑

Accessトークンのタイプ †

Bearer Token（持参人切符）

Access Tokenは基本的にBearer Token。
トークンが誰に対して発行されたのかを確認せずに、
「トークンを持っていること」をベースに API 利用を許可する。
∴ 利用する際、暗号鍵の所持を証明するよう要求されない。

参考
- OAuth 2.0のbearer tokenの最新仕様を調べたらあまり変わってなかった - r-weblife
  http://d.hatena.ne.jp/ritou/20110402/1301679908
- The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
  http://openid-foundation-japan.github.io/rfc6750.ja.html

MAC Token
- Accessトークンと共にMessage Authentication Code (MAC)キーを発行する。
- MACキーはHTTPリクエストの一部分を署名するのに利用される。

参考
- draft-ietf-oauth-v2-http-mac - OAuth 2.0 Message Authentication Code (MAC) Tokens
  https://tools.ietf.org/html/draft-ietf-oauth-v2-http-mac

↑

認証用のCredentials †

↑

Resource Owner †

Resource Ownerの認証用のCredentialsはOAuth 2.0 仕様の外
（Authorization ServerはユーザID、パスワードなどを使用してResource Ownerを認証）

↑

Client †

Clientの認証用のCredentials
（Authorization ServerはこれによりClientを認証）

クライアント識別子
クライアント識別子（2つのセット）の情報は、URIで送信しない。
- client_id（1つだけの場合、URIに露見する）
- client_secret（URIに露見しない、させない）

認証方法
- ベーシック認証などのパスワードベースのHTTP認証スキーム
- HTTP認証スキームを使用できない場合にPOSTを使用する（非推奨）。

↑

エンドポイントの種類 †

URLは仕様で規定されない。

↑

Authorization Server上のエンドポイント †

認可エンドポイント
- 概要
  - Resource Ownerを認可するエンドポイント
  - 認証画面ではないので注意（認証結果を見て認可する）。
  - 仲介コードや、Access Tokenを発行するエンドポイント。
- 特徴
  - HTTPSのGETを使用する。
  - Authorization Codeや、Implicitグラント種別で使用する。

Tokenエンドポイント
- 概要
  Access Token・Refresh Tokenを発行するエンドポイント。
- 特徴
  - HTTPSのPOSTを使用する。
  - Implicitグラント種別を除く、他の全てのグラント種別で使用する。
    Implicitグラント種別では、認可エンドポイントでAccess Tokenを返す。

↑

Client上のエンドポイント †

Redirectエンドポイント

概要
エンドポイント・コンテンツを返す。

特徴
- HTTPSのGETを使用する。
- Authorization Codeや、Implicitグラント種別で使用する。

注意点
- Authorization Codeでは、なるべくエンドポイント・コンテンツにTokenが露見しないようにする。
- Implicitグラントなど、Tokenがコンテンツに露見してしまう場合、以下に従い拡散を防止する。
  - コンテンツには、3rd partyのscriptを含めるべきでない。
  - Client自身のscriptが初回に実行されるようにすること。
  - URIからTokenを抽出し、露見しないように他へPOSTしBodyに含めるなどする。

↑

Requestパラメタ †

↑

response_typeパラメタ †

認可エンドポイントにGETで送付する。
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。

項番	グラント種別	パラメタ値	意味
１	Authorization Code	code	仲介コードを要求
２	Implicit	token	Access Tokenを要求

参考：OpenID Connectによって、追加された、response_type。

↑

client_id, client_secretパラメタ †

Clientの識別や認証のために、色々な所で使用されるパラメタ。

コチラを参照。

用途
- 認可エンドポイント
  - client_idとredirect_uriの対応をチェックする。
- Redirectエンドポイント
  - 次のTokenエンドポイントに渡す。
- Tokenエンドポイント
  - Clientの認証を行なう。

↑

redirect_uriパラメタ †

client_idに対応するRedirectエンドポイントを指定するために指定するパラメタ。

Redirectエンドポイントを使用する、Authorization Code, Implicitグラント種別で使用する。
認可エンドポイントにGETを送付するときに、部分一致するオプション値として絶対パスで指定する。
指定した際は、Tokenエンドポイントまで、引き継がれチェックに使用される。

↑

grant_typeパラメタ †

TokenエンドポイントにPOSTを送付するときに指定するパラメタ。
以下のように、グラント種別毎に、決まったパラメタを指定する必要がある。

項番	グラント種別	パラメタ値
１	Authorization Code	authorization_code
２	Resource Owner Password Credentials	password
３	Client Credentials	client_credentials
４	上記１、２、３のグラント種別でRefreshトークンを使用する際	refresh_token

↑

scopeパラメタ †

Authorization Codeグラント種別
- 認可エンドポイントにGETで送付する。
- 送信前に、画面で認可scopeをResource Ownerに提示する。

Implicitグラント種別
- 認可エンドポイントにGETで送付する。
- 異なるscopeのAccess Tokenを取得した場合、Responseにscopeパラメタを付与する。

Resource Owner Password Credentialsグラント種別
- TokenエンドポイントにPOSTで送付する。
- 異なるscopeのAccess Tokenを取得した場合、Responseにscopeパラメタを付与する。

Client Credentialsグラント種別
- TokenエンドポイントにPOSTで送付する。
- 異なるscopeのAccess Tokenを取得した場合、Responseにscopeパラメタを付与する。

↑

stateパラメタ †

CSRFのセキュリティ対策に使用が推奨されるパラメタ。

概要
- 認可エンドポイントにGETを送付するときに指定する。
- Redirectエンドポイントを使用する、Authorization Code, Implicitグラント種別で使用する。
- 以降のやり取りでも引き継がれて使用される（値は変更しないこと）。

要件
- 推測困難な文字列である必要がある。（ワンタイム性は必須ではない）

参考
- OAuth 2.0のstateとredirect_uriとOpenID ConnectのnonceとID Tokenについて - r-weblife
  http://d.hatena.ne.jp/ritou/20121008/1349695124
  - CSRF対策のトークンをワンタイムにしたら意図に反して脆弱になった実装例 - 徳丸浩の日記(2011-01-27)
    http://www.tokumaru.org/d/20110127.html

↑

Responseパラメタ †

code, access_token, refresh_token

項番	パラメタ値	意味
１	code	access_tokenを取得するためのtokenで、Authorization Codeグラント種別でのみ使用する。
２	access_token	コチラを参照
３	refresh_token	コチラを参照

↑

The OAuth 2.0 Authorization Framework †

RFC 6749 - The OAuth 2.0 Authorization Framework
https://tools.ietf.org/html/rfc6749

OAuth 2.0 Core & Bearer Spec (RFC 6749 & RFC 6750) 翻訳公開！ - OAuth.jp
http://oauth.jp/blog/2013/01/23/oauth-20-core-bearer-spec-rfc-rfc-6749-rfc-67/
- The OAuth 2.0 Authorization Framework
  http://openid-foundation-japan.github.io/rfc6749.ja.html
- The OAuth 2.0 Authorization Framework: Bearer Token Usage（日本語）
  http://openid-foundation-japan.github.io/rfc6750.ja.html

↑

RFC 6749 - OAuth 2.0のフロー定義 †

OAuth 2.0仕様には4つのフローが定義されている。
これらのフローのタイプを「グラント種別」と呼ばれる。

IPA ISEC　セキュア・プログラミング講座：
Webアプリケーション編　第8章マッシュアップ：サーバサイドマッシュアップ
https://www.ipa.go.jp/security/awareness/vendor/programmingv2/contents/709.html

以下の様な「グラント種別」がある模様。

↑

Authorization Codeグラント種別 †

RFC 6749 - The OAuth 2.0 Authorization Framework > 4.1. Authorization Code Grant
https://tools.ietf.org/html/rfc6749#section-4.1

Authorization Code Flow

+----------+
| Resource |
|   Owner  |
|          |
+----------+
     ^
     |
    (B)
+----|-----+          Client Identifier      +---------------+
|         -+----(A)-- & Redirection URI ---->|               |
|  User-   |                                 | Authorization |
|  Agent  -+----(B)-- User authenticates --->|     Server    |
|          |                                 |               |
|         -+----(C)-- Authorization Code ---<|               |
+-|----|---+                                 +---------------+
  |    |                                         ^      v
 (A)  (C)                                        |      |
  |    |                                         |      |
  ^    v                                         |      |
+---------+                                      |      |
|         |>---(D)-- Authorization Code ---------'      |
|  Client |          & Redirection URI                  |
|         |                                             |
|         |<---(E)----- Access Token -------------------'
+---------+       (w/ Optional Refresh Token)

Note: The lines illustrating steps (A), (B), and (C) are broken into two parts as they pass through the user-agent.

↑

Implicitグラント種別 †

RFC 6749 - The OAuth 2.0 Authorization Framework > 4.2. Implicit Grant
https://tools.ietf.org/html/rfc6749#section-4.2

Implicit Grant Flow

+----------+
| Resource |
|  Owner   |
|          |
+----------+
     ^
     |
    (B)
+----|-----+          Client Identifier     +---------------+
|         -+----(A)-- & Redirection URI --->|               |
|  User-   |                                | Authorization |
|  Agent  -|----(B)-- User authenticates -->|     Server    |
|          |                                |               |
|          |<---(C)--- Redirection URI ----<|               |
|          |          with Access Token     +---------------+
|          |            in Fragment
|          |                                +---------------+
|          |----(D)--- Redirection URI ---->|   Web-Hosted  |
|          |          without Fragment      |     Client    |
|          |                                |    Resource   |
|     (F)  |<---(E)------- Script ---------<|               |
|          |                                +---------------+
+-|--------+
  |    |
 (A)  (G) Access Token
  |    |
  ^    v
+---------+
|         |
|  Client |
|         |
+---------+

Note: The lines illustrating steps (A) and (B) are broken into two parts as they pass through the user-agent.

↑

Resource Owner Password Credentialsグラント種別 †

RFC 6749 - The OAuth 2.0 Authorization Framework > 4.3. Resource Owner Password Credentials Grant
https://tools.ietf.org/html/rfc6749#section-4.3

Resource Owner Password Credentials Flow

+----------+
| Resource |
|  Owner   |
|          |
+----------+
     v
     |    Resource Owner
    (A) Password Credentials
     |
     v
+---------+                                  +---------------+
|         |>--(B)---- Resource Owner ------->|               |
|         |         Password Credentials     | Authorization |
| Client  |                                  |     Server    |
|         |<--(C)---- Access Token ---------<|               |
|         |    (w/ Optional Refresh Token)   |               |
+---------+                                  +---------------+

参考
- memo: Force.com : REST API 開発ユーザ名パスワード OAuth 認証
  http://vaindespair.blogspot.jp/2013/01/blog-post_5252.html
  - Understanding the Username-Password OAuth Authentication Flow
    Force.com REST API Developer Guide | Salesforce Developers
    https://developer.salesforce.com/docs/atlas.en-us.api_rest.meta/api_rest/intro_understanding_username_password_oauth_flow.htm

↑

Client Credentialsグラント種別 †

RFC 6749 - The OAuth 2.0 Authorization Framework > 4.3. Resource Owner Password Credentials Grant
https://tools.ietf.org/html/rfc6749#section-4.4

Client Credentials Grant

+---------+                                  +---------------+
|         |                                  |               |
|         |>--(A)- Client Authentication --->| Authorization |
| Client  |                                  |     Server    |
|         |<--(B)---- Access Token ---------<|               |
|         |                                  |               |
+---------+                                  +---------------+

↑

RFC 6750 - Bearer Token Usage †

RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage
https://tools.ietf.org/html/rfc6750

↑

概要 †

認可サーバーにより発行されたAccessトークンを、
保護リソースエンドポイント (狭義の Web API) に渡す方法を定めた仕様

次の 3 つの方法を定義されている。
- Authorization Request Header Field
  Authorization ヘッダに埋め込む方法
- Form-Encoded Body Parameter
  リクエスト・ボディに埋め込む方法
- URI Query Parameter
  クエリ・パラメタとして渡す方法

↑

フロー †

 +--------+                               +---------------+
 |        |--(A)- Authorization Request ->|   Resource    |
 |        |                               |     Owner     |
 |        |<-(B)-- Authorization Grant ---|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(C)-- Authorization Grant -->| Authorization |
 | Client |                               |     Server    |
 |        |<-(D)----- Access Token -------|               |
 |        |                               +---------------+
 |        |
 |        |                               +---------------+
 |        |--(E)----- Access Token ------>|    Resource   |
 |        |                               |     Server    |
 |        |<-(F)--- Protected Resource ---|               |
 +--------+                               +---------------+

↑

参考 †

OAuth - Wikipedia
https://ja.wikipedia.org/wiki/OAuth

↑

OAuth 1.0 †

OAuth Core 1.0
http://oauth.net/core/1.0/

ゼロから学ぶOAuth：特集｜gihyo.jp … 技術評論社
http://gihyo.jp/dev/feature/01/oauth
- 第1回　OAuthとは？―OAuthの概念とOAuthでできること
  http://gihyo.jp/dev/feature/01/oauth/0001
- 第2回　OAuth Consumerの実装（入門 : OAuth Access Tokenの取得と利用）
  http://gihyo.jp/dev/feature/01/oauth/0002
- 第3回　OAuth Consumerの実装（応用 : smart.fm APIおよびGoogle Data APIsの利用）
  http://gihyo.jp/dev/feature/01/oauth/0003
- 第4回　OAuth Service Providerの実装
  http://gihyo.jp/dev/feature/01/oauth/0004

↑

OAuth 2.0 †

The OAuth 2.0 Authorization Framework

OAuth 2.0 の仕組みと認証方法 | murashun.jp
https://murashun.jp/blog/20150920-01.html

OAuth 2.0の代表的な利用パターンを仕様から理解しよう - Build Insider
http://www.buildinsider.net/enterprise/openid/oauth20

↑

＠IT †

デジタル・アイデンティティ技術最新動向連載インデックス
http://www.atmarkit.co.jp/fsecurity/index/index_digid.html
- デジタル・アイデンティティ技術最新動向（1）：「OAuth」の基本動作を知る
  - http://www.atmarkit.co.jp/ait/articles/1208/27/news129.html
  - http://www.atmarkit.co.jp/ait/articles/1208/27/news129_2.html

OAuth 2.0でWebサービスの利用方法はどう変わるか

↑

Qiita †

OAuth 2.0 の仕様を読むために - Qiita
http://qiita.com/awakia/items/66975de18ba25f18a961
色々な OAuth のフローと doorkeeper gem での実装 - Qiita
http://qiita.com/tyamagu2/items/5aafff7f6ae0a9ec94aa

↑

slideshare †

今更聞けないOAuth2.0
http://www.slideshare.net/ph1ph2sa25/oauth20-46144252

OpenID Connect 入門〜コンシューマーにおけるID連携のトレンド〜
OAuth 2.0 Authorization Code Flow
http://www.slideshare.net/kura_lab/openid-connect-id/21

↑

目次 †

概要 †

変遷 †

OAuth 1.0 †

OAuth 2.0 †

OAuth 1.0とOAuth 2.0の違い †

概要 †

参考 †

OAuth 2.0とOpenID Connectの違い †

概要 †

参考 †

詳細 †

登場人物 †

Resource Owner †

Client †

Authorization Server †

Resource Server †

プロトコル・フロー †

(A) Authorization Request †

(B) Authorization Grant †

(C) Authorization Grant †

(D) Access Token †

(E) Access Token, (F) Protected Resource †

★ 参考 †

グラント種別毎のフロー †

Authorization Codeグラント種別 †

Implicitグラント種別 †

Resource Owner Password Credentialsグラント種別 †

Client Credentialsグラント種別 †

Clientについて †

種類 †

事前登録 †

認可用のCredentials（Token） †

Access Token †

Refresh Token †

Accessトークンのタイプ †

認証用のCredentials †

Resource Owner †

Client †

エンドポイントの種類 †

Authorization Server上のエンドポイント †

Client上のエンドポイント †

Requestパラメタ †

response_typeパラメタ †

client_id, client_secretパラメタ †

redirect_uriパラメタ †

grant_typeパラメタ †

scopeパラメタ †

stateパラメタ †

Responseパラメタ †

The OAuth 2.0 Authorization Framework †

RFC 6749 - OAuth 2.0のフロー定義 †

Authorization Codeグラント種別 †

Implicitグラント種別 †

Resource Owner Password Credentialsグラント種別 †

Client Credentialsグラント種別 †

RFC 6750 - Bearer Token Usage †

概要 †

フロー †

参考 †

OAuth 1.0 †

OAuth 2.0 †

＠IT †

Qiita †

slideshare †

OAuth 2.0 拡張 †

技術文書中での Shall / Should / May †

Microsoft Azure Active Directory †