公開

クライアント型 (OAuth)

[1] クライアント型 (client type) は、自身のクライアントcredentialsの機密保持性の分類です。

仕様書

[2] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) <http://tools.ietf.org/html/rfc6749#section-2>
- [21] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) <http://tools.ietf.org/html/rfc6749#section-2.1>

定義

[31] クライアント型 (client type) は、認可鯖と安全に認証する能力 (クライアントcredentialsの機密維持能力) を表しており、次の2つがあります >>21。

[32] 機密 (confidential) は、クライアントがcredentialsの機密性を維持する能力がある (安全な鯖で実装されているなど。) か、その他何らかの手段で安全にクライアント認証できることを表します。
[33] 公開 (public) は、クライアントがcredentialsの機密性を維持する能力がなく (資源所有者の装置上で動作するネイティブアプリケーションやブラウザー上の応用など。)、その他何らかの手段で安全にクライアント認証することもできないことを表します。

[34] この区分は、認可鯖が何を安全な認証とするか、クライアントcredentials の露出をどこまで認めるかに依存します。 >>21

[36] 鯖で動作する部分とブラウザーで動作する部分のように、異なる性質を持つ複数のソフトウェア部品で構成されるクライアントもあります。認可鯖がそのような形態に対応していない、登録方法を案内していない場合には、それぞれ別のクライアントとして登録するべきです >>21。

[7] Google は、それぞれ別個に登録されたクライアント同士が scope を通じて協調する方法を提供しているようです >>6。

[6] Cross-client Identity - Google Accounts Authentication and Authorization — Google Developers (2014-10-24 09:43:45 +09:00 版) <https://developers.google.com/accounts/docs/CrossClientAuth>

文脈

[3] クライアントの開発者は、クライアントの登録時にクライアント型を指定しなければなりません >>2。

[35] 認可鯖は、クライアントのクライアント型について仮定を置くべきではありません >>21。

[4] リダイレクトエンドポイントの登録に関する要件はクライアント型に依存します。

[5] 認可エンドポイントやトークンエンドポイントでのクライアント認証やクライアントの識別に関する処理は、クライアント型によって変わります。承諾型によっては、いずれかのクライアント型でなければ使うことが認められていません。