OAuthの記事を色々読んで理解を深めてみた
OAuth 2.0 全フローの図解と動画 - Qiita
RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を…
qiita.com
この人の図が一番分かりやすかった
OAuth2.0とは
リソースへのアクセス認可をするための動きのこと
アクセス認可のために認可サーバーがアクセストークンを発行する
アクセストークンの受け取りに関して
認可サーバーがトークンエンドポイントを持ち、アクセストークンがほしいApp側はそのエンドポイントへリクエストを投げる。
ユーザー認証または予め認可サーバーでクライアントを登録しておいたIDのみにトークンを付与する。
何者にも対してガンガンアクセストークンを発行するのをなくすためにユーザー認証とクライアント認証が存在しているのだと
ユーザー認証とクライアント認証
ユーザー認証:リソース側(例えばFacebookとか)のログインによりユーザーを認識する。
クライアント認証:認可サーバーに登録されている、リソースへのアクセスを許すユーザーを作るのだと
Tokenを投げるときは、クライアントの存在を確認したあとである。
このクライアント認証の方法を色々とある。
OAuth 2.0 クライアント認証 - Qiita
はじめにこの記事では、OAuth 2.0 の『クライアント認証』について説明します。RFC 6749 に記述されているクライアント認証方式のほか、クライアントアサーションやクライアント証明書を用…
qiita.com
どっちも実装すればそりゃセキュリティ的には良さそう。
コメント