[2] [DFN[[RUBYB[認可鯖]@en[authorization server]]]]は、
[[資源所有者]]の[[認証]]に成功し[[認可]]を得た後に[[クライアント]]に[[アクセストークン]]を発行する[[鯖]]です [SRC[>>1]]。

* 仕様書

[REFS[
- [1] [CITE@en[RFC 6749 - The OAuth 2.0 Authorization Framework]] ([TIME[2014-12-15 14:15:35 +09:00]] 版) <http://tools.ietf.org/html/rfc6749#section-1.1>
- [4] [CITE@en[RFC 6749 - The OAuth 2.0 Authorization Framework]] ([TIME[2014-12-15 14:15:35 +09:00]] 版) <http://tools.ietf.org/html/rfc6749#section-3>
- [5] [CITE@en[RFC 7009 - OAuth 2.0 Token Revocation]] ([TIME[2014-12-21 18:10:21 +09:00]] 版) <http://tools.ietf.org/html/rfc7009>
- [16] [CITE@en[Final: OpenID Connect Core 1.0 incorporating errata set 1]] ([TIME[2014-11-09 04:00:29 +09:00]] 版) <http://openid.net/specs/openid-connect-core-1_0.html#rfc.section.1>
- [18] [CITE@en[Final: OpenID Connect Core 1.0 incorporating errata set 1]] ([TIME[2014-11-09 04:00:29 +09:00]] 版) <http://openid.net/specs/openid-connect-core-1_0.html#Terminology>
]REFS]

* エンドポイント

[3] [[認可鯖]]は、次の[[エンドポイント]]を持つことができます。
[FIG(short list)[
- [[認可エンドポイント]] [SRC[>>4]]
- [[トークンエンドポイント]] [SRC[>>4]]
- [[revokeエンドポイント]] [SRC[>>5]]
]FIG]

[7] [[認可鯖]]は[[クライアント]]となるもの (開発者) に対して[[クライアント登録]]の
[[Webページ]]を提供することが期待されています。

[8] [[認可鯖]]は[[資源所有者]]に対して、当該[[資源所有者]]に関する[[アクセストークン]]や[[更新トークン]] (が発行された[[クライアント]]) やその[[適用範囲]]の一覧を表示したり、
[[revoke]] したりする [[Webページ]]を提供することが期待されています。

[9] [[認可鯖]] (または[[認可鯖]]と協調して動作する他の[[鯖]]) は、
これら [[OAuth]] の機能とは別に、[[資源所有者]]の資格を得たり、
[[認証]]して[[ログイン]]状態を得たりする一連の [[Webページ]]群
(= 当該 [[Webアプリケーション]]における[[アカウント]]の登録や[[ログイン]]のフォームと[[エンドポイント]]) を持っているのが普通です。

[10] [[認可鯖]]は、[[資源所有者]]に対して[[認可承諾]]について[[電子メール]]その他の手段で通知するのが好ましいかもしれません。

[EG[
[12] 例えば重大な操作を行える[[適用範囲]]を持つ[[アクセストークン]]が発行された時、
[[認可鯖]]はその旨を[[資源所有者]]に報告したいかもしれません。
]EG]

[EG[
[11] 例えば[[資源所有者合言葉credentials]]は[[資源所有者]]が一旦[[合言葉]]を[[クライアント]]に渡してしまうと以後何が行われているか[[資源所有者]]が一切知ることができないため、
[[認可鯖]]は処理を[[資源所有者]]に報告したいかもしれません。
]EG]

[13] [[認可鯖]]は、自身が発行した[[アクセストークン]]を通して[[資源鯖]]において行われた操作を[[資源所有者]]に説明する[[Webページ]]を提供することがあります。
詳細な利用状況を記録している場合もあれば、最終利用時刻を示す程度の場合もあります。

[14] [[認可鯖]]は、[[OAuth]] 以外の方法で [[OAuth]] で得られる[[アクセストークン]]を[[資源所有者]]に提供するかもしれません。

[EG[
[15] 例えばいくつかの[[Webアプリケーション]]は、[[クライアント]]開発者でもある[[資源所有者]]の便宜を図るため、[[資源所有者]]のアカウント管理ページから[[アクセストークン]]を発行する機能を提供しています。
]EG]

[17] [[OpenID Connect]] を実装する [[OAuth 2.0]] [[認可鯖]]を、
[DFN[[RUBYB[[[OpenID提供者]]]@en[[[OpenID Provider]]]]]] ([DFN[[[OP]]]])
といいます [SRC[>>16]]。すなわち、[[末端利用者]]を[[認証]]し[[認証]]イベントと[[末端利用者]]について [[relying party]] に [[claim]] を提供できる[[認可鯖]]をいいます [SRC[>>18]]。

* 歴史

[6] [[OAuth 1.0]] では[[認可鯖]]と[[資源鯖]]に相当するものがまとめて[[鯖]]
([[サービス提供者]]) と呼ばれていました。