「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
(UserAgent?から、直接、Resource ServerのWebAPIにアクセスする)
詳細 †
SPA †
Implicitが使用できる。 †
スマホ †
Implicitは使用できない。 †
以下のどちらかを使用する。 †
- ポイント
- 入手したcodeはClientのServer側にポストして使用
- Hybrid Flowでは、
- codeとtokenのscope(認可された権限)を変える。
- FAPIでは、token:参照系、code:更新系などとなっている。
- 金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。
- 現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。
参考 †
- OAuth2/OIDCの認証にWebView?はダメっぽい。
仕様 †
Tags: :認証基盤, :クレームベース認証, :OAuth