OAuthの記事を色々読んで理解を深めてみた
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZ0eHQ9T0F1dGglMjAyLjAlMjAlRTUlODUlQTglRTMlODMlOTUlRTMlODMlQUQlRTMlODMlQkMlRTMlODElQUUlRTUlOUIlQjMlRTglQTclQTMlRTMlODElQTglRTUlOEIlOTUlRTclOTQlQkImdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTMwYzhhNDlkNmE1OWM3ZWFjYjNlYTQ1NzY0YzZmYjBl&mark-x=142&mark-y=112&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwVGFrYWhpa29LYXdhc2FraSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ZWQ4NmZiZDAxNGU3NzNlMWIxZDY3YWY3ZjQ4Mjc3NWY&blend-x=142&blend-y=491&blend-mode=normal&s=d447b0add0758f663a13857f30ed817d)
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を…
この人の図が一番分かりやすかった
OAuth2.0とは
リソースへのアクセス認可をするための動きのこと
アクセス認可のために認可サーバーがアクセストークンを発行する
アクセストークンの受け取りに関して
認可サーバーがトークンエンドポイントを持ち、アクセストークンがほしいApp側はそのエンドポイントへリクエストを投げる。
ユーザー認証または予め認可サーバーでクライアントを登録しておいたIDのみにトークンを付与する。
何者にも対してガンガンアクセストークンを発行するのをなくすためにユーザー認証とクライアント認証が存在しているのだと
ユーザー認証とクライアント認証
ユーザー認証:リソース側(例えばFacebookとか)のログインによりユーザーを認識する。
クライアント認証:認可サーバーに登録されている、リソースへのアクセスを許すユーザーを作るのだと
Tokenを投げるときは、クライアントの存在を確認したあとである。
このクライアント認証の方法を色々とある。
![](https://qiita-user-contents.imgix.net/https%3A%2F%2Fcdn.qiita.com%2Fassets%2Fpublic%2Farticle-ogp-background-9f5428127621718a910c8b63951390ad.png?ixlib=rb-4.0.0&w=1200&mark64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTkxNiZ0eHQ9T0F1dGglMjAyLjAlMjAlRTMlODIlQUYlRTMlODMlQTklRTMlODIlQTQlRTMlODIlQTIlRTMlODMlQjMlRTMlODMlODglRTglQUElOEQlRTglQTglQkMmdHh0LWNvbG9yPSUyMzIxMjEyMSZ0eHQtZm9udD1IaXJhZ2lubyUyMFNhbnMlMjBXNiZ0eHQtc2l6ZT01NiZ0eHQtY2xpcD1lbGxpcHNpcyZ0eHQtYWxpZ249bGVmdCUyQ3RvcCZzPTMwZmM3ZWMwOTM4MjMwMTE5ODk0ZDhjOTEwZmNlZTJh&mark-x=142&mark-y=112&blend64=aHR0cHM6Ly9xaWl0YS11c2VyLWNvbnRlbnRzLmltZ2l4Lm5ldC9-dGV4dD9peGxpYj1yYi00LjAuMCZ3PTYxNiZ0eHQ9JTQwVGFrYWhpa29LYXdhc2FraSZ0eHQtY29sb3I9JTIzMjEyMTIxJnR4dC1mb250PUhpcmFnaW5vJTIwU2FucyUyMFc2JnR4dC1zaXplPTM2JnR4dC1hbGlnbj1sZWZ0JTJDdG9wJnM9ZWQ4NmZiZDAxNGU3NzNlMWIxZDY3YWY3ZjQ4Mjc3NWY&blend-x=142&blend-y=491&blend-mode=normal&s=f80286326cd5629ce7ecfcc546aa6a0c)
OAuth 2.0 クライアント認証 - Qiita
はじめにこの記事では、OAuth 2.0 の『クライアント認証』について説明します。RFC 6749 に記述されているクライアント認証方式のほか、クライアントアサーションやクライアント証明書を用…
どっちも実装すればそりゃセキュリティ的には良さそう。
コメント