[42] 持参人bearer Bearer トークン は、
不透明な文字列をアクセストークン として使用する OAuth 2.0
の認証 方式の1つです。いわゆる APIトークン による Web API
の認証 を OAuth 2.0 と HTTP の枠組みの上で実装したものとなっています。
[77]
「OAuth 2.0 を使う」
と言う場合、ほとんどは本方式を指しています。
[87] OAuth 2.0 の認可 フローとは完全に独立した技術で、この認証方式 のみを単独で用いることもできます。
仕様書 [3] RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage (2015-02-11 06:22:47 +09:00 版) http://tools.ietf.org/html/rfc6750 [6] RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage (2015-02-11 06:22:47 +09:00 版) http://tools.ietf.org/html/rfc6750#section-2 [29] RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage (2015-02-11 06:22:47 +09:00 版) http://tools.ietf.org/html/rfc6750#section-3 [46] RFC 6750 - The OAuth 2.0 Authorization Framework: Bearer Token Usage (2015-02-11 06:22:47 +09:00 版) http://tools.ietf.org/html/rfc6750#section-5 [56] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.6.6 [58] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.6.7 [60] Errors from Secured Resources (2015-03-05 10:50:36 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645539.aspx 持参人トークン [4] RFC 6750 は OAuth 2.0 アクセストークン型 として
Bearer Bearer アクセストークン のことを持参人トークンbearer token >>3
A security token with the property that any party in possession of
the token (a "bearer") can use the token in any way that any other
party in possession of it can. Using a bearer token does not
require a bearer to prove possession of cryptographic key material
(proof-of-possession).
[43] 持参人トークン は、クライアント にとって不透明 な値です。
長さの制約は特に無いようです。しかし攻撃者が推測したり、改変したりできない値としなければなりません >>46
アクセストークン の項も参照。[38] ベアラートークン の構文は明記されていませんが、 credentials
の構文上の制約から、 b64token
URL query や payload body における指定方法にはこの制約が適用されません。
しかしそれらの方法は非推奨なので、行間を読む なら、
それらの方式のみで認められるアクセストークン の発行を認める意図があったとは思い難いです。[10] b64token ASCII英数字 、- . _ ~ + / = >>6
+|ASCII英数字 - . _ ~ + / *= [55] Base64 を利用することが想定された構文となっているようですが、
持参人トークン はその他の方法で生成しても構いません。[92] b64token の先頭・中間に使える文字 の一覧
https://chars.suikawiki.org/set/%24rfc6750%3Ab64token-char [50] 持参人トークン の寿命 は制限しなければなりません 鯖 は、 Webブラウザー その他情報漏洩の可能性のある環境のクライアント には、
寿命 の短い (1時間以下 の) 持参人トークン を発行するべき >>46
[51] おおよそどの環境でも多かれ少なかれ情報漏洩の危険性はありそうですが、
この条件に該当するかどうかはどう判断したら良いのでしょう?[37] RFC 6750 が規定する資源鯖 の認証 のためにベアラートークン を使う方式は、
OAuth 2.0 認可鯖 から取得したアクセストークン をベアラートークン として指定するものです。
ただし OAuth 以外の方法で取得したアクセストークン を使うことも認めています。
また一般的な資源鯖 だけでなく、串 の認証 のために本方式を使うことも認めています。
[47] クライアント は、持参人トークン が無関係の者に漏洩しないようしなければなりません >>46
[49] 持参人トークン をクッキー に含める場合には、 CSRF
に警戒しなければなりません 持参人トークン を平文 で送信されるクッキー に含めてはなりません >>46 Secure 属性 のないクッキー は平文 で送信されます。)
[53] 持参人トークン は URL に含めるべきではありません URL は履歴 やログ などで漏洩しやすいためです。 >>46
[54] 逆串 で TLS を終端してその裏側のアプリケーション鯖 とは平文 で通信するような場合には、
持参人トークン の機密性 に注意しなければなりません >>46
[52] 鯖 は、適用可能な資源鯖 を必要な範囲に限定した持参人トークン を発行するべきです >>46
プロトコル [44] クライアント は OAuth 2.0 の認可承諾 フローによって予め持参人トークン
(アクセストークン ) を得ておく必要があります。
[48] クライアント は持参人トークン を送信する際は常にTLS
で機密性 と一貫性 を保護できる ciphersuite
を使わなければなりません クライアント は TLS 証明書鎖 を検証validate しなければなりません CRL の検査も含みます)。
そうしなければ DNSハイジャック攻撃 の危険があります。
クライアント は HTTPS の規定に従い資源鯖 の identity
を検証verify しなければなりません >>46
HTTPS鯖認証 参照。[5] 持参人トークン は、Authorization: ヘッダー 、
URL query 、payload body の3つの方法で指定できます。
クライアント は複数の方法を同時に使ってはなりません >>6
[11] クライアント は Authorization: ヘッダー の方法を使うべき 資源鯖 はこれに対応しなければなりません >>6
[18] クライアント は Authorization: payload body による指定を使うべきではありません 資源鯖 はこの方法に対応しても構いません。 >>6
[22] クライアント は他の方法を使えない場合を除き、
URL query による指定を使うべきではありません 資源鯖 はこの方法に対応しても構いません。 >>6
[66] Instagram など >>65 , >>67 , >>71 ドキュメント を見る限り
URL query による指定のみ、または URL query と payload body
のみにしか対応していないようです。
[65] Instagram API Endpoints • Instagram Developer Documentation (2015-03-05 16:54:03 +09:00 版) https://instagram.com/developer/endpoints/#instagram-api-endpoints [71] Bitly API Documentation (2014-11-01 00:33:47 +09:00 版) http://dev.bitly.com/authentication.html [39] 資源鯖 は、要求 に含まれるアクセストークン を調べ、
有効なアクセストークン が含まれていれば認証 できたものとして処理を続行します。
そうでなければ、エラー応答を返します。
認証方式 Bearer を使った要求 [7] HTTP要求 の Authorization: ヘッダー で認証方式
Bearer アクセストークン を指定できます >>6
[8] 例えば、 HTTP要求 に
Authorization: Bearer mF_9.B5f-4.1JqM ... のようなヘッダー を指定します >>6 [9] Authorization: ヘッダー の値である credentials
は、認証方式 である Bearer U+0020 b64token >>6
[26] 認証方式 Bearer Webブラウザー 自身が使うことはないので、
特段の CSRF 対策は不要です。
[91]
Strava は Bearer と titlecase にしなければならず、
小文字 だと認証エラーになるようです。
2018-10-26T11:43:04.400Z
[70] GitHub の認証方式は本方式に近いですが、 auth-scheme Bearer token >>61
draft-hammer-http-token-auth と同じ auth-scheme [62] ヤマレコ の認証方式は本方式に近いですが、 auth-scheme Bearer OAuth >>61
[73] StatusPage.io も OAuth 大文字 と小文字 を区別するようで注意を促しています >>72
[98]
Discord API利用者 の Bearer
の他にボット 用の Bot>>97 auth-scheme で区別していますが、構文的には同じです。
[69] OAuth | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth/ [61] 1. OAuth認証 - ヤマレコ Web API (2015-02-25 16:41:06 +09:00 版) https://sites.google.com/site/apiforyamareco/api/oauth [72] StatusPage.io - Documentation - API Authentication (2014-08-28 18:57:27 +09:00 版) http://doers.statuspage.io/api/authentication/ [97]
Discord Developer Portal — Documentation — Reference2023-05-31T22:18:22.000Z , 2023-06-01T05:18:52.465Z https://discord.com/developers/docs/reference 不適切な利用例 [100]
Vonage はクライアント に JWT を生成させて Bearer
の値として使用させています。 >>99
[101]
これは鯖 が生成しクライアント にとって不透明な値という持参人トークン の条件を満たさない不適切な利用例です。
[99]
Vonage Messages API (v1.0) Reference | Vonage API Documentation2024-08-08T11:44:33.000Z https://developer.vonage.com/en/api/messages#SendMessage-auth payload body によってアクセストークンを指定した要求 [12] HTTP要求 の payload body の access_token 引数 を使ってアクセストークン を指定できます >>6
[13] この方法を使う場合、 Content-Type: application/x-www-form-urlencoded payload body もそれに従い符号化されていなければなりません >>6
[14] payload body 中で符号化 されている内容は ASCII文字 のみで構成されなければなりません >>6
[15] 符号化 されている内容が何を指しているのか不明です。
application/x-www-form-urlencoded access_token 引数 の値のことなのか。[16] HTTP 要求メソッド は、 payload body の意味 が定義されているものでなければなりません GET なりません >>6
[17] 他の引数 が指定されていても構いません >>6
[94]
Slack
は
token
という名前の引数 で指定するよう求めています
>>63
[27] 副作用のある操作の場合は、 CSRF 対策が必要です。
[57] HTTPキャッシュ を考慮して、クライアント は
Cache-Control: no-store 資源鯖 の 2xx 応答 は
Cache-Control: private >>56
URL query によってアクセストークンを指定した要求 [19] HTTP要求 の query の access_token 引数 を使ってアクセストークン を指定できます >>6 capability URL の一種といえます。
[25] application/x-www-form-urlencoded
[20] 他の引数 を含む場合には、それと & なりません >>6
[21] クライアント は、要求 に Cache-Control: no-store べき 鯖 は 2xx 応答 に
Cache-Control: private べき >>6 , >>56
[23] この方式は推奨されませんが、現在の用法を文書化するために仕様に含まれています >>6 [24] RFC はセキュリティー上の問題の他、 引数 を予約するのは URI
として良い慣習ではない >>6 payload body
でも予約していることには何も言わず (非推奨ではありますが)、 URL query
だけ敢えて良い習慣ではないと言及するのは不審です。[59] Referer: ログ ファイルなどからの漏洩に注意が必要です >>58
[28] 副作用のある操作の場合は、 CSRF 対策が必要です。
[80] Facebook は本方式を採用しています >79 。
[64] Slack は URL query の token 引数 にアクセストークン を指定することを求めています >>63
[93] ... のですが、その後非互換変更 があったようで、現在では
URL query では認められないようです >>63
[68] foursquare >>67 SoundCloud >>75 URL query の oauth_token 引数 にアクセストークン を指定することを求めています。
[74] StatusPage.io >>72 >>78 api_key 引数 にアクセストークン を指定することを求めています。
[79] Access Tokens (2015-08-26 12:01:35 +09:00 版) https://developers.facebook.com/docs/facebook-login/access-tokens [63] Slack Web API | Slack (Slack 著, 2015-03-05 16:12:13 +09:00 版) https://api.slack.com/web [67] Connecting (2015-03-05 17:39:49 +09:00 版) https://developer.foursquare.com/overview/auth [75] HTTP API - Reference - SoundCloud Developers (2015-03-29 18:55:16 +09:00 版) https://developers.soundcloud.com/docs/api/reference [78] Authentication | OANDA Exchange Rates API (2014-11-04 02:30:43 +09:00 版) http://developer.oanda.com/exchange-rates-api/v1/authentication/ その他の方法 (HTTP) [82] RFC は認めていませんが、その他の方法が使われることがあります。
[83] OAuth 2.0 により取得したアクセストークン を独自プロトコルに流用した
(独自プロトコルのアクセストークン 取得部分のみに OAuth 2.0 を流用した)
と考えれば、直ちに RFC 違反と言えるものでもありません。
しかし、少なくても標準化 により相互運用性 を向上させる努力とは矛盾しています。[84] IIJmioクーポンスイッチAPI は、独自のヘッダー にアクセストークン を指定させます。
HTTP認証 ではないので、エラーは 401 403
XOAUTH2 [95]
POP , IMAP , SMTP
のようなインターネットメール 系プロトコル では、
SASL の XOAUTH2
で持参人トークン が使われます。
エラー応答 [30] 資源鯖 は、被保護資源 に対する要求 に適切なアクセストークン が含まれていなければ、
WWW-Authenticate: ヘッダー を含めなければなりません 資源鯖 は他の場面でも含めることができます。 >>29
[31] ベアラートークン を実装する資源鯖 は、
auth-scheme Bearer なりません >>29
[33] 次の引数 があります。authorization_uri >>60 realm scope error error_description error_uri resource_id >>60 [32] その他の引数 を指定しても構いません >>29
[45] 特に IANA登録簿 も無いようです。本当に何でも指定して良いのでしょうか?[34] 引数 のいずれも必須 error 推奨 引数 を指定することが必須 >>29 error realm realm
[35] RFC にありがちな、意味のあるのか無いのかわからない謎の曖昧規定ですね...[36] error 状態符号 に関する要件があります。
歴史 [1] Bearer Tokens - Actions in the Inbox — Google Developers
( (2013-09-07 00:07:39 +09:00 版))
https://developers.google.com/gmail/actions/actions/verifying-bearer-tokens?hl=ja
[2] RFC 7236 - Initial Hypertext Transfer Protocol (HTTP) Authentication Scheme Registrations
( (2014-09-10 00:40:16 +09:00 版))
https://tools.ietf.org/html/rfc7236#section-3
関連 [88]
「持参人 (ベアラー )」とは、特定の者に権限を与えるのではなく、
証書を持つ者に対して権限を与えることをいいます。
小切手 の持参人払い (小切手 所有者に支払うもの) や、
持参人式定期券 (定期券 を現に所有していれば誰であっても使えるもの)
のような形で使われています。
[89]
認証 方式としては、利用者名 などの識別情報を持たず、
予め発行された不透明な識別子 を保持することを承認された者とみなすことから持参人 と呼ぶものと思われます。
[41] HTTP認証 の中では基本認証 が利用者名 と合言葉 の2つの値を指定するだけのものですが、
持参人トークン 方式は1つの値を指定するだけの、より単純なものとなっています。
メモ [40] IdM実験室: Bearer Token とは?
(2015-02-07 10:00:00 +09:00 版)
http://idmlab.eidentity.jp/2013/09/bearer-token.html
[76] HTTP Headers and Query String Parameters - Cloud Storage — Google Cloud Platform
(2015-05-27 08:55:19 +09:00 版)
https://cloud.google.com/storage/docs/reference-headers#authorization Valid Values
An authentication identifier ( OAuth | GOOG1 | AWS ) followed by one of the following:
A valid OAuth 2.0 token
An access key
A signature
Example
Authorization: OAuth 1/zVNpoQNsOSxZKqOZgckhpQ
[81] RFC 7628 - A Set of Simple Authentication and Security Layer (SASL) Mechanisms for OAuth
(2015-09-01 15:39:29 +09:00 版)
https://tools.ietf.org/html/rfc7628
[85] dev:web_api:v3:basics
(2016-03-31 00:48:32 +09:00 版)
https://www.zotero.org/support/dev/web_api/v3/basics API keys can be included in requests in one of two ways:
As an HTTP header, in the form Authorization: Bearer P9NiFoyLeZu2bZNvvuQPDWsd
As a URL query parameter, in the form key=P9NiFoyLeZu2bZNvvuQPDWsd
Use of the Authorization header is recommended, as it will allow use of URLs returned from the API (e.g., for pagination) without modification.
OAuth 2.0
[86] cURL - How To Use
( (2016-05-31 06:05:05 +09:00 ))
https://curl.haxx.se/docs/manpage.html#--oauth2-bearer --oauth2-bearer
(IMAP, POP3, SMTP) Specify the Bearer Token for OAUTH 2.0 server authentication. The Bearer Token is used in conjunction with the user name which can be specified as part of the --url or -u, --user options.
[90] DOCKER-627: 'docker login quay.io' is failing
(2018-05-18 14:54:07 +09:00 )
https://smartos.org/bugview/DOCKER-627 Www-Authenticate: Bearer realm="https://auth.docker.io/token",service="registry.docker.io"
[96] Authentication | Twitch Developers
(2021-02-22T21:46:25.000Z , 2021-02-27T03:36:08.977Z )
https://dev.twitch.tv/docs/authentication#sending-user-access-and-app-access-tokens In the Twitch API:
curl -H "Authorization: Bearer <access token>" https://api.twitch.tv/helix/
In Twitch API v5 (deprecated ):
curl -H "Authorization: OAuth <access token>" https://api.twitch.tv/kraken/