OAuth 1.0 資源所有者認可 [5] OAuth 1.0 クライアント は鯖 にトークンcredentials を要求するに先立ち、
鯖 に対してアクセス要求を認可 authorize 利用者 に求めなければなりません >>3 資源所有者認可 resource owner authorization
[6] クライアント は、何らかの方法で鯖 が広告 した資源所有者認可 のエンドポイント の
URL を次の通り編集しつつ要求URL としなければなりません クライアント はその要求URL をHTTPリダイレクト その他の方法で資源所有者 の利用者エージェント にアクセスさせます。
この時使う要求メソッド は GET なりません >>3
[7] その URL の query に oauth_token 引数 を追加します。URL query (application/x-www-form-urlencoded oauth_token 一時credentials要求 で鯖 からクライアント に提供された一時credentials の識別子
(oauth_token 引数 の値) とします。
ただし、鯖 は資源所有者 に他の方法で一時credentials の識別子を示させる方法を用意しているなら、
この引数 を省略可能にできます。 >>3
[8] 鯖 は、その他の引数 も規定しても構いません >>3
[91] OAuth 1.0 の拡張である xoauth_response_format 引数 を使うと、通常のリダイレクト のかわりに XML や JSON
などで結果を POST JSONP のための xoauth_json_callback 引数 も規定されています。
xoauth_response_format 実装例は見当たりません。 [88] Twitter は force_login screen_name >>87 , >>89
[81] Google は hd hl btmpl >>80
[108] Fitbit は locale display requestCredentials >>107
[110] WP-API は wp_scope >>109
[116] Dropbox は locale disable_signup >>115
[128] Evernote は preferRegistration 引数 を規定しています
>>127
[130] UserVoice は guid sso scheme >>129
[87] GET oauth/authorize | Twitter Developers (2015-03-05 11:15:35 +09:00 版) https://dev.twitter.com/oauth/reference/get/oauth/authorize [89] GET oauth/authenticate | Twitter Developers (2015-03-05 11:25:36 +09:00 版) https://dev.twitter.com/oauth/reference/get/oauth/authenticate [80] OAuth 1.0 API Reference - Google Accounts Authentication and Authorization — Google Developers (2014-12-05 11:52:26 +09:00 版) https://developers.google.com/accounts/docs/OAuth_ref#GetAuth [107] OAuth Authentication in the Fitbit API - API - Confluence (2015-03-06 08:29:40 +09:00 版) https://wiki.fitbit.com/display/API/OAuth+Authentication+in+the+Fitbit+API [109] OAuth1/spec.md at master · WP-API/OAuth1 (2015-03-06 08:42:54 +09:00 版) https://github.com/WP-API/OAuth1/blob/master/docs/spec.md [115] Dropbox - Core API - endpoint reference (2015-03-06 09:07:10 +09:00 版) https://www.dropbox.com/developers/core/docs [127] 認証 - Evernote Developers (2015-03-06 09:30:38 +09:00 版) https://dev.evernote.com/intl/jp/doc/articles/authentication.php [129] UserVoice OAuth Reference - UserVoice Developer (UserVoice 著, 2015-01-24 06:02:32 +09:00 版) https://developer.uservoice.com/docs/api/oauth/#_api_v1_oauth_authorize_ [9] 資源所有者認可 で保安輸送路 を使うか否かは鯖 に任されていて、
OAuth としては規定されていません >>3
[10] 鯖 はまず資源所有者 の identity を検証verify しなければなりません 鯖 に委ねられています。 >>3
[16] 一般的には、鯖 はまず資源所有者 がそのWebアプリケーション におけるアカウント でログイン 状態にあるか
(Cookie認証 等で) 確認し、必要ならログイン 処理を行います。
次に一時credentials から調べた OAuth クライアント についての登録情報や、
(あれば) そのWebアプリケーション における可能な操作の範囲 (いわゆる scope )
など判断に必要な情報を表示し、資源所有者 に対して認可 するか否かの選択を求めます。
(ログイン していない場合、ログイン と認可 を同時に確認する実装もあります。)[18] 既に一部の scope について認可 していて、更に追加の scope
の認可 を求められている場合に差分だけ表示して確認を求める実装もあります。
また新たに要求された scope をすべて認可 済みの時に、
確認を省略して直ちに HTTPリダイレクト する実装もあります >>21 セキュリティー 的に問題ないか、鯖 も資源所有者 側の実装者も十分検討する必要があります。
特にクライアントcredentials が流出している場合には、
資源所有者 が気づかないうちにトークンcredentials を与えてしまうことになるので危険です
>>21 リダイレクト するのは特定の限定された scope
のみとするなど、配慮が必要です >>21 [53] 鯖 は CSRF 対策が必要です。
[12] 鯖 は、資源所有者 が認可 すると判断したら、
一時credentials要求 の oauth_callback 引数 、
あるいはその他の手段で指定されたコールバックURL があれば、
資源所有者 をそこにリダイレクト します。 >>3
[13] コールバックURL の query には次の引数 を追加しなければなりません >>3 query があるなら、末尾に追加しなければなりません >>3 URL query [14] oauth_token クライアント から受信した一時credentials の識別子 >>3 [15] oauth_verifier 検証符号 verification code >>3
[111] WP-API は wp_scope 引数 も追加します >>109
[117] Dropbox は uid 引数 も追加します >>115
[20] コールバックURL は不適切な値が指定されるかもしれません。
oauth_callback [17] 鯖 は、クライアント がコールバックURL が提供しなかった場合には、
検証符号 を表示し、資源所有者 に対して手動でクライアント に入力するよう指示するべきです >>3
[118] 資源所有者認可 で資源所有者 が認可 しないことを選択した場合の動作は、
OAuth 仕様としては規定されていません。鯖 によりコールバックURL
にそのままリダイレクト したり、別途設定した取り消し時の URL
にリダイレクト したりします。クライアント 側にリダイレクト しなければならないとの規定もありません。
[119] Dropbox は、コールバックURL に not_approved 引数 を追加してリダイレクト します >>115
OAuth 2.0 認可エンドポイント [2] OAuth 2.0 認可鯖 の認可エンドポイント authorization endpoint 資源所有者 から認可承諾 を得るために使うものです。
認可符号承諾型 と暗示的承諾型 で使います。 >>1
認可エンドポイントへの要求 [22] クライアント が認可エンドポイント の位置を知る方法は OAuth
仕様の範囲外ですが、通常はサービス のドキュメント により示されます >>1
[24] 認可エンドポイント では TLS を使わなければなりません >>1 , >>48 クライアント は RFC 6125 により認可鯖 のTLS証明書 を検証し鯖 の
identity を認証 しなければなりません >>48 HTTPS鯖認証 )。
[57] spoofing により認可鯖 が攻撃者に入れ替わっている危険性がありますから、
鯖 の確認は重要です >>56 [56] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.2.1 [23] 認可エンドポイント の URL には application/x-www-form-urlencoded query を含めても構いません。素片識別子 を含んではなりません query が含まれる場合には、引数 を追加する場合には元の query
を残して追加しなければなりません >>1
[37] 認可符号 またはアクセストークン を取得するために資源所有者 をリダイレクト する URL
の構築時には、引数 を URL query に application/x-www-form-urlencoded >>36 , >>44 引数 があります。URL query (application/x-www-form-urlencoded [68] response_type 認可符号 の取得なら code アクセストークン の取得なら token なりません >>36 , >>44 OpenID Connect 暗示フロー なら
id_token token id_token なりません >>73 [69] client_id クライアント識別子 を指定しなければなりません >>36 , >>44 [70] redirect_uri リダイレクトURL を指定できます >>36 , >>44 [71] scope 適用範囲 を指定できます >>36 , >>44 [72] state 局所状態を表す値を指定するべきです >>36 , >>44 code_challenge PKCE code_challenge_method PKCE
[67] OpenID Connect は、次の引数 を規定しています。いくつかは必須です。nonce claims display prompt max_age ui_locales id_token_hint login_hint openid2_realm >>90 registration request request_uri response_mode acr_values
[75] Google は OpenID 2.0 からの移行のための独自の openid.realm hd access_type include_granted_scopes >>76 approval_prompt >>77 引数 もあるようです。
[83] Azure は resource domain_hint >>82
[93] Spotify は show_dialog >>92
[95] Slack は team >>94
[97] reddit は duration >>96
[99] Salesforce は code_challenge immediate >>98
[103] SurveyMonkey は api_key >>102
[106] Viadeo は lang cancel_url >>105
[113] Yahoo! は language >>112
[121] Dropbox は force_reapprove disable_signup >>120
[76] OpenID Connect (OAuth 2.0 for Login) - Google Accounts Authentication and Authorization — Google Developers (2015-02-04 03:07:27 +09:00 版) https://developers.google.com/accounts/docs/OpenIDConnect [77] Using OAuth 2.0 for Web Server Applications - Google Accounts Authentication and Authorization — Google Developers (2014-12-05 11:52:25 +09:00 版) https://developers.google.com/accounts/docs/OAuth2WebServer [82] OAuth 2.0 in Azure AD (2015-03-05 10:30:09 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645545.aspx [90] draft: OpenID 2.0 to OpenID Connect Migration 1.0 - draft 08 (2015-02-02 07:51:11 +09:00 版) http://openid.net/specs/openid-connect-migration-1_0.html [92] Web API Authorization Guide - Spotify Developer (2015-03-05 15:59:09 +09:00 版) https://developer.spotify.com/web-api/authorization-guide/ [94] OAuth | Slack (Slack 著, 2015-03-05 16:04:09 +09:00 版) https://api.slack.com/docs/oauth [96] OAuth2 · reddit/reddit Wiki (2015-03-05 16:27:33 +09:00 版) https://github.com/reddit/reddit/wiki/OAuth2#user-content-authorization [98] Understanding the Web Server OAuth Authentication Flow (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_web_server_oauth_flow.htm [102] SurveyMonkey - Guide OAuth (2015-03-05 17:23:37 +09:00 版) https://developer.surveymonkey.com/mashery/guide_oauth [105] OAuth 2.0 Authentication | Viadeo API (2015-03-05 17:50:17 +09:00 版) http://dev.viadeo.com/documentation/authentication/oauth-authentication/ [112] Yahoo OAuth 2.0 Guide - Yahoo Developer Network (2015-03-06 08:50:28 +09:00 版) https://developer.yahoo.com/oauth2/guide/ [120] Dropbox - Core API - endpoint reference (2015-03-06 09:07:10 +09:00 版) https://www.dropbox.com/developers/core/docs [131] 楽天ウェブサービス(RAKUTEN WEBSERVICE) (2015-03-24 23:58:21 +09:00 版) http://webservice.rakuten.co.jp/document/oauth [74] OpenID Connect は URL query を直接使うのではなく、
JWT 要求オブジェクト によって間接的に指定する方法も規定しています。
[31] クライアント は、要求 の response_type 引数 で code 認可符号承諾型 ) か
token 暗示的承諾型 ) か拡張の承諾型 を表す値のいずれかを指定しなければなりません >>1
[29] 要求 の引数 は、複数指定してはなりません >>1
[25] 認可鯖 は、認可エンドポイント において GET 要求メソッド に対応しなければなりません POST 要求メソッド に対応しても構いません。 >>1
[132] 楽天 は GET POST >>131
認可エンドポイントでの処理 [4] 認可鯖 は、まず資源所有者 を認証
(identity を検証verify ) しなければなりません >>1 , >>36 認可鯖 が資源所有者 を認証 する方法は、 OAuth
仕様の範囲外で、利用者名 と合言葉 によるログイン であれ、
セッションクッキー であれ、任意の方法を使うことができます >>1
>>122 [52] 認可エンドポイント では CSRF 対策を行わなければなりません >>48
[32] 認可鯖 は、 response_type 引数 が指定されていない時や理解できない時は、
誤り を返さなければなりません >>1
[35] 認可鯖 はすべての必須 の引数 が指定されており、妥当 であることを確認します。
>>36 , >>44
[26] 要求 の引数 で値のないものは、指定されなかったものとして扱わなければなりません >>1
[27] 値がないというのは、 application/x-www-form-urlencoded = 空文字列 と区別されるということでしょうか?[28] 認可鯖 は、認識できない引数 を無視しなければなりません >>1
[38] 認可鯖 は、資源所有者 に尋ねるなり、その他何らかの手段を使うなりして、
資源所有者 から認可 するかの決定を得ます >>36 , >>44
リダイレクトエンドポイントへのリダイレクト [34] 認可鯖 は、資源所有者 がアクセス要求を承諾したら、
資源所有者 をクライアント (のリダイレクトエンドポイント )
へとリダイレクト により戻します >>1 , >>36 , >>44
[39] 認可符号 を求められている場合で資源所有者 の認可 が得られた場合には、
リダイレクトURL の query には
application/x-www-form-urlencoded 引数 を追加します >>36 URL query (application/x-www-form-urlencoded code 認可鯖 が生成した認可符号 を指定しなければなりません state クライアント が認可 の要求に state 引数 を指定していれば、まったく同じ値を指定しなければなりません
[84] Azure は更に admin_consent session_state >>82
[45] アクセストークン を求められている場合で資源所有者 の認可 が得られた場合には、
リダイレクトURL の素片識別子 には
application/x-www-form-urlencoded 引数 を追加します >>33 素片識別子 (application/x-www-form-urlencoded access_token 認可鯖 が発行したアクセストークン を指定しなければなりません >>33 token_type 発行したトークン の種類を指定しなければなりません >>33 expires_in アクセストークン の寿命 を秒 単位で指定するべきです >>33 scope クライアント が要求した適用範囲 とアクセストークン の適用範囲 が異なるなら、指定しなければなりません >>33 state クライアント が認可 の要求に state 引数 を指定していれば、まったく同じ値を指定しなければなりません >>33 id_token OpenID Connect の場合は指定しなければなりません
[46] この場合更新トークン を発行してはなりません >>33 [100] Salesforce は独自の id instance_url issued_at signature >>101
[114] Yahoo! は独自の xoauth_yahoo_guid >>112
[101] Force.com REST API Developer's Guide (2012-11-22 10:44:00 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/ [43] 資源所有者 がアクセス要求を拒んだ場合やリダイレクトURL の欠如や非妥当ではない点で要求 に問題がある場合には、
認可符号 を求められているならリダイレクトURL の query 、
アクセストークン を求められているならリダイレクトURL の素片識別子 に
application/x-www-form-urlencoded 引数 を追加します >>41 , >>33 URL query /素片識別子 (application/x-www-form-urlencoded error 誤り符号 を指定しなければなりません error_description 人間可読 な誤り の説明を指定して構いません。error_uri 人間可読 な誤り の説明を含むWebページ の URL
を指定して構いません。state クライアント が認可 の要求に state 引数 を指定していれば、まったく同じ値を指定しなければなりません
[30] 応答 の引数 は、複数指定してはなりません >>1
[78] OpenID による拡張である要求 の request_mode 引数 は、
URL query と素片識別子 、あるいは application/x-www-form-urlencoded 応答 の引数 を返すべきかを指定するものです。
[79] Google の拡張はリダイレクトURL の指定により素片識別子 でなく
URL query を使うことを求めたり、リダイレクト のかわりに認可符号 を含む
HTML文書 を表示させること、窓 を閉じることを求めるHTML文書 を表示させることを指定できるようにしています。
[40] リダイレクトエンドポイント 、認可符号 も参照。[42] リダイレクトURL が指定されていない場合、非妥当 な場合、一致しない場合や、
クライアント識別子 が指定されない場合や非妥当 な場合には、
資源所有者 に誤り を知らせるべき 非妥当 なリダイレクトURL にリダイレクト してはなりません >>1 , >>41 , >>33
[51] OAuth 1.0 の oauth_callback =oob 承諾型 を使うなどするべきです。資源所有者に対する認可の確認画面 [122] 認可鯖 は認可 するか尋ねるに当って HTTP クライアント が当該サービス上のどの資源所有者 であるか認証 する必要があります。この認証 は
Cookie認証 その他当該サービスの従来の方式によるもので、 OAuth
の仕様の範囲外です。
[123] HTTP クライアント がCookie を有していないなど認証 されない状態でアクセスしてきている場合には、
ログイン 画面へ誘導する、あるいは認可 と同時にログイン を求める、
認可 と同時に credentials の入力を求めるといった方法でどの資源所有者 か特定する必要が生じます。
[124] そのため、資源所有者認可 ステップは複数回の認可鯖 -HTTP クライアント
(資源所有者 ) 間のやり取りで構成される場合があります。[125] 認可鯖 のサービス上のアカウントを既に保有していない HTTP クライアント からのアクセスだった場合には、
新規のアカウント 登録を求める認可鯖 もあります。そのような利用方法を認めていない場合や、
認めるかどうかを OAuth クライアント に指定させる場合もあります。
[126] 特にこの場合には次のステップに進むまで時間がかかることがあり、 OAuth 1.0
一時credentials の有効期限を超過する虞もあります。[11] 要求されたアクセスを認可 するかどうか OAuth 1.0
鯖 が資源所有者 に尋ねるときには、
一時credentials とクライアント の identity
との関連付けに基づき、アクセスを要求しているクライアント についての情報を表示するべきです 検証verify されたものかどうか示すべきです >>3
[50] OAuth 2.0 認可鯖 は、資源所有者 の認証 を明示的に行った上で、
クライアント や要求されている認可 の適用範囲 や寿命 についての情報を資源所有者 に提供するべきです クライアント に照らしてその情報を確認し認可 するかどうかを判断するのは資源所有者 の責任です。 >>48
トークンエンドポイント のクライアント認証 の項も参照。[59] 認可鯖 は資源所有者 に対して認可 の適用範囲 を理解可能な形で説明し、
必要以上の権限をクライアント に与えてしまわないように注意する必要があります >>58
[61] 認可鯖 は、既に過去に認可 を得ている場合には、
資源所有者 に対する確認を省いて自動的にリダイレクト してクライアント に戻すことができます >>60
[49] OAuth 2.0 認可鯖 は、繰り返される認可 の要求について、
クライアント認証 が行われる場合やその他の手段で本来のクライアント から求められていると確認できる場合を除き、
(明示的に資源所有者 が操作せずに) 自動的に処理するべきではありません >>48 , >>62 適用範囲 を限定することも好ましいかもしれません >>60
[86] Twitter その他 >>85 , >>104 , >>107 OAuthログイン と認可 で資源所有者認可 エンドポイントを別にしており、
後者では自動リダイレクトはしないとしています。[19] この確認画面はクリックジャッキング 対策が必要です >>63 Webブラウザー 以外で表示したり、アドレスバー を隠したりするのはフィッシング の疑いを拭い去れないため、避けるべきと考えられています。
[47] ネイティブアプリケーション は埋め込みブラウザー
(アプリ内ブラウザー ) ではなく外部のブラウザー を使うべきです >>48
[55] 不正なクライアント は埋め込みブラウザー を使って、
資源所有者 の認証 で入力された利用者名 と合言葉 を盗む >>54 認可 に限らず) 埋め込みブラウザー によってフィッシングサイト を表示するなどの危険性があります。
利用者 に啓蒙する、アプリマーケット で審査するといった対策は挙げられてはいますが >>54 OAuth の仕様の内外を問わず、根本的に解決するのは難しい問題です。
[65] また不正なクライアント は埋め込みブラウザー を使って資源所有者 に無断で機械的に認可
(認可鯖 のフォーム を勝手に POST >>64 CAPTCHA などにより資源所有者 が実際に操作していることを確認したり、
認可 後に電子メール などで資源所有者 に通知したりする対策が必要かもしれません >>64
[85] 3-legged authorization | Twitter Developers (2015-03-05 11:08:34 +09:00 版) https://dev.twitter.com/oauth/3-legged [104] Connecting (2015-03-05 17:39:49 +09:00 版) https://developer.foursquare.com/overview/auth [54] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.1.4 [58] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.2.2 [60] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.2.3 [62] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.4.1.4 [63] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.4.1.9 [64] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.4.1.10 [66] Final: OpenID Connect Core 1.0 incorporating errata set 1
(2014-11-09 04:00:29 +09:00 版)
http://openid.net/specs/openid-connect-core-1_0.html#Terminology Authorization Request
OAuth 2.0 Authorization Request as defined by [ RFC6749] .
[133] Using OAuth 2.0 — Fitbit Web API Docs
(2016-10-05 06:00:11 +09:00 )
https://dev.fitbit.com/docs/oauth2/ Any attempt to embed the OAuth 2.0 authentication page will result in your application being banned from the Fitbit API.
For security consideration, the OAuth 2.0 authorization page must be presented in a dedicated browser view. Fitbit users can only confirm they are authenticating with the genuine Fitbit.com site if they have the tools provided by the browser, such as the URL bar and Transport Layer Security (TLS) certificate information.
For native applications, this means the authorization page must open in the default browser. Native applications can use custom URL schemes as redirect URIs to redirect the user back from the browser to the application requesting permission.
iOS applications may use the SFSafariViewController class instead of app switching to Safari. Use of the WKWebView or UIWebView class is prohibited.
Android applications may use Chrome Custom Tabs instead of app switching to the default browser. Use of WebView is prohibited.
For web applications, do not use an iframe. Web applications may use a pop-up window, so long as the URL bar is visible.
[134] 認証と認可 | Cacoo Developer API | Nulab
( (2017-09-13 07:21:22 +09:00 ))
https://developer.nulab-inc.com/ja/docs/cacoo/auth/#2-oauth OAuth での認証からアカウント登録を行う場合、以下のパラメータを Authorize の URL に指定することで、アカウント登録フォームへの事前入力ができます。
Name Description
signup.mailAddress アカウントのメールアドレス
signup.nickname アカウントのニックネーム