[10] クライアントcredentials client credentials OAuthクライアント を識別、認証するための credentials です。
仕様書 [1] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-1.1 [3] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-3 [7] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-3.1 [9] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-3.4.2 [11] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-4.6 [15] RFC 5849 - The OAuth 1.0 Protocol (2014-12-28 14:19:21 +09:00 版) http://tools.ietf.org/html/rfc5849#section-4.15 [17] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-1.3.4 [20] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-2 [21] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-2.2 [34] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-2.3 [55] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-3.2.1 [57] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.1.1 [59] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.1.2.1 [60] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.2.1 [61] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.4 [37] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-10.8 [39] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#appendix-A.1 [41] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#appendix-A.2 [90] RFC 7591 - OAuth 2.0 Dynamic Client Registration Protocol (2015-07-15 00:25:14 +09:00 版) https://tools.ietf.org/html/rfc7591 [91] RFC 7592 - OAuth 2.0 Dynamic Client Registration Management Protocol (2015-07-15 00:25:47 +09:00 版) https://tools.ietf.org/html/rfc7592 クライアントの登録 [5] OAuth 1.0 では、認証された要求 の作成に先立ってクライアント と鯖 との間でクライアントcredentials
を準備しておく必要があります >>3
[24] OAuth 2.0 では、利用に先立ってクライアント は認可鯖 に自身を登録することになっています
>>20 認可鯖 は、登録されたクライアント にクライアント識別子 を発行します。
[27] しかしその具体的な方法は、 OAuth 1.0 >>3 OAuth 2.0 >>20
[6] 一般的には、当該Webアプリケーション の管理画面等でクライアント を登録することで、
クライアントcredentials が生成されるという形が採られています。[25] しかしクライアント と認可鯖 が直接やり取りして登録する必要はなく、
自己または第三者の発行する表明に基づいたり、
信頼できる通信路によるクライアント発見法を用いたりしても構いません。 >>20 [92] OAuth 2.0 の追加仕様である RFC 7591 >>90 RFC 7592 >>91 Web API によりクライアントの登録 と管理を行わせるための方法が規定されています。
[93] しかし新しい仕様であり、ほとんど実装は見かけません。今後普及するかどうかは未知数です。 2015-09-24T14:47:49.600Z [26] OAuth 2.0 クライアント の登録においては、
クライアント の開発者が次の情報を提供しなければなりません >>21 [28] クライアント型 client type [29] クライアントリダイレクトURL client redirection URL [30] その他認可鯖 が必要な情報 (例えば応用 名、
Webサイト 、説明文、ロゴ 、規約への同意など)
[48] OAuth 1.0 は未登録のクライアント の利用に言及していませんでした。
OAuth 2.0 は未登録のクライアント の利用を排除していませんが、
OAuth 2.0 仕様の範囲外ともしています >>20
[69] Google は OAuth 1.0 時代に consumer key と consumer secret
を共に anonymous として oauth_signature_method =HMAC-SHA1 >>68 クライアント の利用を認めていました。
[68] OAuth 1.0 API Reference - Google Accounts Authentication and Authorization — Google Developers (2014-12-05 11:52:26 +09:00 版) https://developers.google.com/accounts/docs/OAuth_ref#SigningOAuth [35] 更に OAuth 2.0 はクライアント型 が機密 のクライアント に対してトークンエンドポイント でクライアント認証 を求めており、またクライアント型 が公開 のクライアント もクライアント認証 することを認めています。従って認可鯖 およびクライアント はそのための情報も保持する必要があります。
クライアント認証 を参照。[36] 資源所有者合言葉credentials は、他の承諾型 よりも限定的に用いるべきだとされています。
従って認可鯖 は、クライアント が資源所有者合言葉credentials
を利用できるかどうかのフラグも保持する必要があります。
資源所有者合言葉credentials 参照。[67] OpenID Connect はクライアント登録 のための API の規定を含んでいます。
[89] Heroku もクライアント登録 の API を提供しています >>88
[88] Platform API Reference | Heroku Dev Center (2015-03-06 08:21:11 +09:00 版) https://devcenter.heroku.com/articles/platform-api-reference#oauth-client OAuth 1.0 クライアント credentials [4] クライアントcredentials は、
固有識別子 unique identifier 共有秘密 shared-secret クライアント共有秘密 client shared-secret >>9 RSA鍵組 RSA key pair RSA公開鍵 とRSA秘密鍵 )
によって構成されます >>3
[2] 元はクライアント識別子 のことを consumer key クライアント共有秘密 のことを consumer secret >>1 [52] クライアント識別子 は、認証された要求 においてクライアント を識別するために
oauth_consumer_key 引数 で使います。
[32] クライアント共有秘密 は、 oauth_signature =HMAC-SHA1 oauth_signature =PLAINTEXT RSA鍵 は、 oauth_sianature =RSA-SHA1
[53] 共有秘密 と鍵の組の両方を保持する必要はありません。
用いない署名方式 のものは不要です。[54] クライアント識別子 は、秘密ではありません。
[12] 共有秘密 や RSA秘密鍵 は、クライアント が秘密に保持しておく必要があります。
共有秘密 は鯖 も署名 の計算のために保持しておく必要があります。
oauth_signature =PLAINTEXT 共有秘密 が要求 の一部として転送されます。[13] クライアント がネイティブアプリケーション で実行ファイル が配布される場合のように、
クライアントcredentials を攻撃者が入手できてしまう場合もあります。
鯖 はクライアント の識別identity の検証verify にクライアントcredentials だけでなく、
可能ならIPアドレス その他の要素も考慮するべきshould です。 >>11
[14] 実行ファイル が配布されるパターンで IPアドレス をチェックしても何の意味も無い気がしますが・・・。
不特定多数に配布されるネイティブアプリケーション をクライアント として OAuth 1.0
Web API を利用する場合にはクライアントcredentials は意味を持たないものとして諦める以外に有効な策は無さそうです。[16] 資源所有者認可 で資源所有者 に明示的に確認せずにトークンcredentials
が発行されるような実装になっていると、公開されているクライアントcredentials
を使って第三者がトークンcredentials を取得できてしまい、特に危険です >>15 資源所有者認可 も参照。)[33] OAuth 2.0 ではこの性質をクライアント型 と呼んで分類しており、
クライアントcredentials を秘匿できない場合も考慮されています。OAuth 2.0 クライアント識別子 [31] 認可鯖 は、登録されたクライアント に対してクライアント識別子 client identifier クライアント識別子 は、クライアント が提供した登録情報を表す、
認可鯖 について固有の文字列 です。 >>20
[43] 使用できる文字 は、client_id 引数 の構文上の制約のため、
印字可能ASCII文字 に限られます。
[22] クライアント識別子 は、秘密ではありません。これ単独でクライアント の認証 に使ってはなりません >>20
[23] クライアント識別子 の長さは OAuth 仕様としては未定義となっています。
クライアント は仮定を置くべきではありません。
認可鯖 は長さを文書化するべきです >>20
[81] SurveyMonkey は client_id 利用者名 とし、
client_secret api_key 鯖 が発行した値としています >>80 api_key クライアント識別子 を構成するものと言えますが、なぜ
client_id
[87] GitHub は認可 に関する問い合わせの API で
client_id client_secret 基本認証 の利用者名 と合言葉 として使っています >>86
[80] SurveyMonkey - Guide OAuth (2015-03-05 17:23:37 +09:00 版) https://developer.surveymonkey.com/mashery/guide_oauth [86] Authorizations | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth_authorizations/#check-an-authorization [79] クライアント認証 も参照。OAuth 2.0 クライアント認証 [65] トークンエンドポイント では、クライアント識別子 と credentials
を使ったクライアント認証 が行われます。
OAuth 2.0クライアント認証 を参照。OAuth 2.0 クライアント credentials 承諾型 [18] OAuth 2.0 承諾型 としてのクライアントcredentials は、
クライアントcredentials (やその他の形のクライアント の認証 )
を認可承諾 として使うものです >>17 , >>61
[19] 本承諾型 は、認可 の適用範囲 (scope )
がクライアント の制御下にある被保護資源 に限定される時
(クライアント が資源所有者 でもある時) や、
他の資源所有者 の制御下にある被保護資源 であっても認可鯖 との間で
(OAuth の仕様外の何らかの方法で) 事前の取り決めがある時に使うことができます
>>17 , >>61
[62] 本承諾型 は、クライアント型 が機密 の場合以外は使ってはなりません >>61
[63] クライアント はまず認可鯖 のトークンエンドポイント にアクセストークン の要求を送信します。
認可鯖 はクライアント認証 を行ってから、アクセストークン を発行します。 >>61
C クライアント S 認可鯖 C -> S トークンエンドポイント にアクセストークン を要求S -> C アクセストークン を発行[72] Azure が実装しています >>71
[74] Twitter が実装しています >>73 consumer key と consumer secret
を使うようです。
[76] Spotify が実装しています >>75
[78] reddit は「Application Only OAuth」として gran_type =client_credentials grant_type =https://oauth.reddit.com/grants/installed_client 機密 のクライアント としてアクセスする場合に、
後者は公開 のクライアント としてアクセスする場合並びに
「ログアウト 状態の利用者 」としてアクセスする場合に使います。 >>77
[71] Service to Service Calls Using Client Credentials (2015-03-05 10:43:44 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx [73] Errors from Secured Resources (2015-03-05 10:50:36 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645539.aspx [75] Web API Authorization Guide - Spotify Developer (2015-03-05 15:59:09 +09:00 版) https://developer.spotify.com/web-api/authorization-guide/ [77] OAuth2 · reddit/reddit Wiki (2015-03-05 16:36:35 +09:00 版) https://github.com/reddit/reddit/wiki/OAuth2#user-content-application-only-oauth [82] Connecting (2015-03-05 17:39:49 +09:00 版) https://developer.foursquare.com/overview/auth [84] Authorizations | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth_authorizations/#create-a-new-authorization [85] GitHub の基本認証 を使って OAuth アクセストークン を取得する API
>>84 承諾型 とよく似ていますが、基本認証 により資源所有者 の認証を行い、
payload body の client_id client_secret クライアント の認証を行うものとなっています。
トークンエンドポイント とは異なるエンドポイント で独自の引数 を使う他、
応答 の形式も本承諾型 とは異なっています。
[70] Google の OAuth 1.0 の拡張である 2-legged OAuth を使うと、
Google Apps の (特定の利用者 に限定せず)
ドメイン 全体のアクセスを認めることができました。
本承諾型 はこのような用途に使えるものと思われます。ただし Google
は現在 Google Apps のドメイン 全体のアクセスには
urn:ietf:params:oauth:grant-type:jwt-bearer 2015-03-04T17:00:25.500Z
[83] foursquare は本承諾型 のような用途で client_id client_secret URL query に指定する方法を採用しています
>>82
oauth_consumer_key 引数 (OAuth 1.0)[8] oauth_consumer_key 認証された要求 でクライアントcredentials の識別子
(consumer key ) を表す >>7 引数 です。
client_id 引数 (OAuth 2.0)[49] client_id 引数 は、
クライアント認証 でクライアント識別子 を表します >>34 クライアント認証 を行う場合、この引数 は必須 です >>34
[40] この引数 の値は、0個以上の印字可能ASCII文字 の列です >>39
[58] 認可エンドポイント で認可符号 やアクセストークン を取得する場合、
この引数 は指定しなければなりません >>57 , >>60 非妥当 な場合、資源所有者 に誤り を知らせるべきです >>59
[56] client_id 引数 は認証 しない場合でもトークンエンドポイント への要求
>>55 認可鯖 は、トークンエンドポイント で適宜認証 および検査しなければなりません。
トークンエンドポイント やOAuth 2.0クライアント認証 も参照。client_secret [50] client_secret 引数 は、
クライアント認証 でクライアント秘密 を表します >>34 引数 は、値が空文字列 なら省略できます >>34
[42] この引数 の値は、0個以上の印字可能ASCII文字 の列です >>41
[38] クライアントcredentials は、平文 で送信してはなりません >>37
grant_type=client_credentials[64] OAuth 2.0 トークンエンドポイント の grant_type 引数 の値 client_credentials >>41 クライアントcredentials 承諾型 を表します。
セキュリティー [44] クライアント が秘密の値を保持する場合、ソースコード であれバイナリ であれ、
それが公開 されていると、 (暗号化 されていたとしても原理的には)
クライアント を配布された第三者がその値を知ることができてしまいますから、
注意が必要です >>45 , >>66 クライアント に埋め込まれて配布される場合、
それを revoke することも (すべての利用者 が使えなくなってしまうので)
難しくなり、好ましくありません >>66
[46] OAuth 1.0 ではクライアントcredentials が必須なので、
秘密の値が漏れることを承知の上でネイティブアプリケーション が配布されていたりします。
OAuth 2.0 はクライアント型 を設け、公開 のクライアント はクライアント認証 を行わないことを認めています。
[47] また、クライアント の開発者ごとにcredentials を発行するのではなく、
クライアント の利用者 ごとに発行することでこれを回避する場合もあります。
その場合でも、環境によっては第三者 (によるアプリケーション ) がクライアント のストレージ などにアクセスして秘密の値を入手することが可能かもしれず、注意が必要です >>45
[51] 例えば伝統的なデスクトップOS では同じ計算機上で動作する他のソフトウェア がファイルシステム 上の設定ファイルに容易にアクセスできるかもしれません。[45] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.1.1 [66] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-5.3.1 [94] Bitbucket API
(2017-09-08 16:59:40 +09:00 )
https://developer.atlassian.com/bitbucket/api/2/reference/meta/authentication Somewhat like our existing "2-LO" flow for OAuth 1. Obtain an access token that represents not an end user, but the owner of the client/consumer:
$ curl -X POST -u "client_id:secret" \
https://bitbucket.org/site/oauth2/access_token \
-d grant_type=client_credentials