UserAgentでOAuth2のTokenを取得するベスト・プラクティス のバックアップ(No.21)

[ トップ ]   [ 新規 | 一覧 | 単語検索 | 最終更新 | ヘルプ ]

• バックアップ一覧
• 差分 を表示
• 現在との差分 を表示
• ソース を表示
• UserAgentでOAuth2のTokenを取得するベスト・プラクティス へ行く。
  • 1 (2018-02-16 (金) 13:33:03)
  • 2 (2018-02-16 (金) 16:37:25)
  • 3 (2018-02-16 (金) 19:12:53)
  • 4 (2018-02-16 (金) 19:58:44)
  • 5 (2018-02-20 (火) 11:40:31)
  • 6 (2018-02-20 (火) 15:45:27)
  • 7 (2018-02-21 (水) 16:54:33)
  • 8 (2018-02-23 (金) 11:07:00)
  • 9 (2018-02-23 (金) 19:03:23)
  • 10 (2018-03-06 (火) 00:11:47)
  • 11 (2018-03-06 (火) 13:47:53)
  • 12 (2018-03-26 (月) 14:44:05)
  • 13 (2018-10-09 (火) 22:19:57)
  • 14 (2018-11-22 (木) 12:56:47)
  • 15 (2018-12-18 (火) 10:56:53)
  • 16 (2018-12-28 (金) 17:42:35)
  • 17 (2019-02-05 (火) 21:01:12)
  • 18 (2019-03-15 (金) 10:15:02)
  • 19 (2019-04-19 (金) 10:55:19)
  • 20 (2019-07-18 (木) 14:33:18)
  • 21 (2019-09-09 (月) 13:25:03)
  • 22 (2019-12-03 (火) 16:40:53)
  • 23 (2020-02-22 (土) 20:52:00)
  • 24 (2021-05-24 (月) 13:07:06)

---

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

UserAgent?（SPAやスマホ）でOAuth2のTokenを取得するベスト・プラクティス
（UserAgent?から、直接、Resource ServerのWebAPIにアクセスする）

詳細 †

SPA †

SPA : Single Page Application

Implicitが使用できる...が非推奨。 †

• Implicitグラント種別

• Implicit Flow

が、非推奨になってきたらしい。

Hybrid Flowでセキュリティが強化される。 †

• codeやtokenのscope（認可された権限）を変える。
  ※ Financial API (FAPI)では、token：参照系、code：更新系などとなっている。

• 入手したcodeはClientのServer側にポストして使用する。
  ※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

Financial API (FAPI)も策定中。 †

Token Bindingの雲行きが怪しくなっているので、PKCE＋Fragment みたいな方式はアリかもしれない。

OAuth2.0 DPoP †

• SPAをターゲットとして仕様が作成されている。
• 名前の通り、アプリケーション・レイヤで、記名式切符を発行することができる。
• これにより、SPAから直接Tokenエンドポイントにリクエストすることができる。

スマホ †

前提条件 †

• （セキュリティ的懸念から）認可リクエストを、外部Webブラウザを経由してのみ行う。
  プラットフォームによっては、外部Webブラウザ相当のUXを向上させる仕組みが用意されている。

• codeとtokenが、「Private-Use URL Scheme上書き攻撃」などから保護されない可能性がある。

Implicitは使用できない。 †

• Implicitグラント種別

• Implicit Flow

Hybrid Flowも使用できない。 †

OAuth PKCEを適切に利用する。 †

Financial API (FAPI)も策定中。 †

Implicitフロー非推奨 †

概要 †

CORSで、TokenエンドポイントにRequest可能になってきたので、

• OAuth PKCEを使用して、Public Client でも sender constrainedなcodeを発行。
• Fragment(response_mode=fragment) で、codeをフラグメントに乗せる。

と言う方法が、SPAにおける認証・認可の推奨になりつつある。

参考 †

• OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife
  https://ritou.hatenablog.com/entry/2018/11/12/110613
  • Why you should stop using the OAuth implicit grant!
    https://medium.com/oauth-2/why-you-should-stop-using-the-oauth-implicit-grant-2436ced1c926
  • OAuth 2.0 Security Best Current Practice
  • OAuth 2.0 for Browser-Based Apps

• これにより「Private-Use URL Scheme上書き攻撃」などから保護される。

• 入手したcodeはClientのServer側にポストしてアクセストークン・リクエストする。
  ※ Publicクライアントにclient_id、client_secretを持たせてはダメなので。

参考 †

ベストプラクティス †

AppAuth †

OAuth 2.0 for Native Apps †

OAuth 2.0 for Browser-Based Apps †

Financial API (FAPI) †

• 金融向け規格なので、前述よりさらにセキュリティ・レベルが強化される。
• 現時点では、まだドラフト段階だが、スマホ、SPA、共に、この規格の導入を検討してイイ。
  • F-API 1 / 2 共に、Confidential Client / Public Clientのプロファイルを持っている。
  • このうち、スマホ / SPA、は、Public Clientのプロファイルを適用する。

FAPI Part 1 †

S256のPKCE

FAPI Part 2 †

...未定...

OSSコンソーシアム †

• UserAgent?でOAuth2のTokenを取得するベスト・プラクティス
  https://www.osscons.jp/joavafb1i-537/#_537

• Single Sign-On user experience with OAuth PKCE by Open棟梁 and Cordova.
  https://www.osscons.jp/jobgbko8n-537/#_537

---

Tags: :IT国際標準, :認証基盤, :クレームベース認証, :OAuth

     

Site admin: dotNetDevelopmentInfrastructure

PukiWiki 1.4.7 Copyright © 2001-2006 PukiWiki Developers Team. License is GPL.
Based on "PukiWiki" 1.3 by yu-ji. Powered by PHP 5.3.3. HTML convert time: 0.029 sec.