UserAgentでOAuth2のTokenを取得するベスト・プラクティス
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
単語検索
|
最終更新
|
ヘルプ
]
開始行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 セキュリティ関連トピック]]
* 目次 [#v8b8e49a]
#contents
*概要 [#d531ad5d]
UserAgent([[SPA>#q18ff74d]]や[[スマホ>#m0aacf50]])でOAu...
(UserAgentから、直接、Resource ServerのWebAPIにアクセス...
*詳細 [#l33d0f36]
**SPA [#q18ff74d]
SPA : [[Single-page application]]
***Implicitが使用できる...が非推奨。 [#g8b68319]
-[[Implicitグラント種別>OAuth#m5c2d510]]、[[Implicit Flow...
--[[CORS>クロス ドメイン接続#t317812a]]で、Tokenエンドポ...
--[[OAuth PKCE]]を使用して、Public Client でも [[sender c...
--[[Fragment(response_mode=fragment) >OAuth 2.0 Form Post...
>と言う方法が、[[SPA>Single-page application]]における認...
--これにより「Private-Use URL Scheme上書き攻撃」などから...
--入手したcodeはClientのServer側にポストしてアクセストー...
※ Publicクライアントにclient_id、client_secretを持たせて...
-詳しくは、
>[[OAuth 2.0 for Browser-Based AppsのPKCE>OAuth 2.0 for B...
>を参照のこと。
-参考
--OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife~
https://ritou.hatenablog.com/entry/2018/11/12/110613
---Why you should stop using the OAuth implicit grant!~
https://medium.com/oauth-2/why-you-should-stop-using-the-...
---[[OAuth 2.0 Security Best Current Practice>#fefe0317]]
---[[OAuth 2.0 for Browser-Based Apps>#qc6a5a70]]
***[[Hybrid Flow>OpenID Connect#l565139a]]でセキュリティ...
-codeやtokenのscope(認可された権限)を変える。~
※ [[Financial API (FAPI)>#q58a3e42]]では、token:参照系、...
-入手したcodeはClientのServer側にポストして使用する。~
※ Publicクライアントにclient_id、client_secretを持たせて...
-問題は、マイナーで、プロファイルがあまり明確ではないこと。
***[[Financial API (FAPI)>#q58a3e42]]も策定中。 [#x3cf1768]
[[Token Binding]]の雲行きが怪しくなっているので、~
PKCE+Fragment みたいな方式はアリかもしれない。
***[[OAuth2.0 DPoP]](ドラフト) [#gbb640b2]
-SPAをターゲットとして仕様が作成されている。
-名前の通り、アプリケーション・レイヤで、[[記名式切符>ト...
-これにより、SPAから直接Tokenエンドポイントにリクエストす...
***[[PKCE 4 SPA>Authorization Code Grant Flow with PKCE]]...
[[Authorization Code Grant Flow with PKCE]]がSPAでの[[Imp...
***[[Token保存先の問題>JWTのコンテキストで何故かSessionと...
**スマホ [#m0aacf50]
***前提条件 [#u115b44f]
-(セキュリティ的懸念から)認可リクエストを、外部Webブラ...
[[プラットフォームによっては、外部Webブラウザ相当のUXを向...
-codeとtokenが、「Private-Use URL Scheme上書き攻撃」など...
***Implicitは使用できない。 [#ubdf2972]
-[[Implicitグラント種別>OAuth#m5c2d510]]
-[[Implicit Flow>OpenID Connect#e7adf5c2]]
***[[Hybrid Flow>OpenID Connect#l565139a]]も使用できない...
***[[OAuth PKCE]]を適切に利用する。 [#x48308e1]
***[[Financial API (FAPI)>#q58a3e42]]も策定中。 [#m9f94dc3]
*参考 [#t3d9eecd]
**ベストプラクティス [#qd8e4d14]
***[[AppAuth]] [#wcc4686c]
***[[OAuth 2.0 for Native Apps]] [#ze7530a4]
***[[OAuth 2.0 for Browser-Based Apps]] [#of822fba]
**[[Financial API (FAPI)]] [#q58a3e42]
***[[FAPI Part 1>FAPI Part 1 (Read Only API Security Prof...
≒[[S256のPKCE>OAuth PKCE#k363fd25]]
***[[FAPI Part 2>FAPI Part 2 (Read and Write API Security...
**OSSコンソーシアム [#a0dd64d2]
-UserAgentでOAuth2のTokenを取得するベスト・プラクティス~
https://www.osscons.jp/joavafb1i-537/#_537
-Single Sign-On user experience with OAuth PKCE by Open棟...
https://www.osscons.jp/jobgbko8n-537/#_537
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
終了行:
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicros...
-[[戻る>OAuth 2.0 セキュリティ関連トピック]]
* 目次 [#v8b8e49a]
#contents
*概要 [#d531ad5d]
UserAgent([[SPA>#q18ff74d]]や[[スマホ>#m0aacf50]])でOAu...
(UserAgentから、直接、Resource ServerのWebAPIにアクセス...
*詳細 [#l33d0f36]
**SPA [#q18ff74d]
SPA : [[Single-page application]]
***Implicitが使用できる...が非推奨。 [#g8b68319]
-[[Implicitグラント種別>OAuth#m5c2d510]]、[[Implicit Flow...
--[[CORS>クロス ドメイン接続#t317812a]]で、Tokenエンドポ...
--[[OAuth PKCE]]を使用して、Public Client でも [[sender c...
--[[Fragment(response_mode=fragment) >OAuth 2.0 Form Post...
>と言う方法が、[[SPA>Single-page application]]における認...
--これにより「Private-Use URL Scheme上書き攻撃」などから...
--入手したcodeはClientのServer側にポストしてアクセストー...
※ Publicクライアントにclient_id、client_secretを持たせて...
-詳しくは、
>[[OAuth 2.0 for Browser-Based AppsのPKCE>OAuth 2.0 for B...
>を参照のこと。
-参考
--OAuth 2.0 の Implicit grant 終了のお知らせ - r-weblife~
https://ritou.hatenablog.com/entry/2018/11/12/110613
---Why you should stop using the OAuth implicit grant!~
https://medium.com/oauth-2/why-you-should-stop-using-the-...
---[[OAuth 2.0 Security Best Current Practice>#fefe0317]]
---[[OAuth 2.0 for Browser-Based Apps>#qc6a5a70]]
***[[Hybrid Flow>OpenID Connect#l565139a]]でセキュリティ...
-codeやtokenのscope(認可された権限)を変える。~
※ [[Financial API (FAPI)>#q58a3e42]]では、token:参照系、...
-入手したcodeはClientのServer側にポストして使用する。~
※ Publicクライアントにclient_id、client_secretを持たせて...
-問題は、マイナーで、プロファイルがあまり明確ではないこと。
***[[Financial API (FAPI)>#q58a3e42]]も策定中。 [#x3cf1768]
[[Token Binding]]の雲行きが怪しくなっているので、~
PKCE+Fragment みたいな方式はアリかもしれない。
***[[OAuth2.0 DPoP]](ドラフト) [#gbb640b2]
-SPAをターゲットとして仕様が作成されている。
-名前の通り、アプリケーション・レイヤで、[[記名式切符>ト...
-これにより、SPAから直接Tokenエンドポイントにリクエストす...
***[[PKCE 4 SPA>Authorization Code Grant Flow with PKCE]]...
[[Authorization Code Grant Flow with PKCE]]がSPAでの[[Imp...
***[[Token保存先の問題>JWTのコンテキストで何故かSessionと...
**スマホ [#m0aacf50]
***前提条件 [#u115b44f]
-(セキュリティ的懸念から)認可リクエストを、外部Webブラ...
[[プラットフォームによっては、外部Webブラウザ相当のUXを向...
-codeとtokenが、「Private-Use URL Scheme上書き攻撃」など...
***Implicitは使用できない。 [#ubdf2972]
-[[Implicitグラント種別>OAuth#m5c2d510]]
-[[Implicit Flow>OpenID Connect#e7adf5c2]]
***[[Hybrid Flow>OpenID Connect#l565139a]]も使用できない...
***[[OAuth PKCE]]を適切に利用する。 [#x48308e1]
***[[Financial API (FAPI)>#q58a3e42]]も策定中。 [#m9f94dc3]
*参考 [#t3d9eecd]
**ベストプラクティス [#qd8e4d14]
***[[AppAuth]] [#wcc4686c]
***[[OAuth 2.0 for Native Apps]] [#ze7530a4]
***[[OAuth 2.0 for Browser-Based Apps]] [#of822fba]
**[[Financial API (FAPI)]] [#q58a3e42]
***[[FAPI Part 1>FAPI Part 1 (Read Only API Security Prof...
≒[[S256のPKCE>OAuth PKCE#k363fd25]]
***[[FAPI Part 2>FAPI Part 2 (Read and Write API Security...
**OSSコンソーシアム [#a0dd64d2]
-UserAgentでOAuth2のTokenを取得するベスト・プラクティス~
https://www.osscons.jp/joavafb1i-537/#_537
-Single Sign-On user experience with OAuth PKCE by Open棟...
https://www.osscons.jp/jobgbko8n-537/#_537
----
Tags: [[:IT国際標準]], [[:認証基盤]], [[:クレームベース認...
ページ名:
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
