[2] OAuth 2.0 のクライアント認証 client authentication クライアント (Web API
にアクセスする外部サービス) に関して認可サーバー が認証 するものです。
仕様書 [201] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749 [34] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-3.2 [52] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.1.3 [61] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.3.2 [65] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-4.4.2 [1] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-6 [21] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-9 [89] RFC 6749 - The OAuth 2.0 Authorization Framework (2014-12-15 14:15:35 +09:00 版) http://tools.ietf.org/html/rfc6749#section-10 [97] RFC Errata Report (2015-02-16 00:47:02 +09:00 版) http://www.rfc-editor.org/errata_search.php?rfc=6749 [109] Final: OpenID Connect Core 1.0 incorporating errata set 1 (2014-11-09 04:00:29 +09:00 版) http://openid.net/specs/openid-connect-core-1_0.html#ClientAuthentication [4] RFC 7521 - Assertion Framework for OAuth 2.0 Client Authentication and Authorization Grants (2015-05-28 13:43:35 +09:00 版) https://tools.ietf.org/html/rfc7521#section-4.2 [8] RFC 7591 - OAuth 2.0 Dynamic Client Registration Protocol (2015-07-15 00:25:14 +09:00 版) https://tools.ietf.org/html/rfc7591#section-4.2 [7] OAuth Parameters (2015-09-18 05:35:53 +09:00 版) http://www.iana.org/assignments/oauth-parameters/oauth-parameters.xhtml#token-endpoint-auth-method 文脈 [43] クライアント型 が機密 のクライアント と、
クライアントcredentials を発行されたクライアント は、
トークンエンドポイント への要求 でクライアント認証 を行わなければなりません >>34 , >>52 , >>61 , >>65 , >>1 ネイティブアプリケーション は、
認可符号 フローにおいてクライアント の credentials
を送信するべきではありません >>21
[49] クライアント型 が公開 のクライアント は、(以上に該当しなくても)
トークンエンドポイント への要求 で自身を識別する
client_id 引数 を使っても構いません >>34 , >>97
この場合は credentials は指定しないので、クライアント認証 は行われません。 [98] なおこのクライアント認証 は、トークンエンドポイント の他、
revokeエンドポイント でも使われます。
処理 [82] 認可鯖 は、クライアント型 が機密 のクライアント やクライアントcredentials
を発行したクライアント に関しては、
トークンエンドポイント における OAuth 2.0 の各承諾型 の要求において、
クライアント認証 を必須としなければなりません >>52 , >>61 , >>65 , >>1 , >>89
[22] 認可鯖 は、クライアント型 が機密 のクライアント については、
自身の要件次第で任意の認証 方式を使って認証 して構いません >>201 認可鯖 は、クライアント型 が公開 のクライアント についても認証 して構いませんが、
クライアント の識別のためにこれに依存してはなりません >>201
[24] 一般的には合言葉 や、公開鍵 と秘密鍵 の組のようなものを認可鯖 が発行または登録して使います >>201 クライアントの登録 も参照。[25] 認可鯖 は、
トークンエンドポイント における OAuth 2.0 の各承諾型 の要求にクライアント認証 が含まれていれば、認証 しなければなりません >>52 , >>61 , >>65 , >>1
[23] OAuth 2.0クライアント認証 はクライアント と認可鯖 の間の任意のエンドポイント で利用可能な形で規定されてはいますが、実際に利用されるのはトークンエンドポイント でのみです。認証方式 [3] 具体的な方式は、認可サーバー が決めることができます。複数の方法を提供する場合は、
その中からクライアント が選択できます。
[26] 複数の認証 方法を単独の要求 で併用してはなりません >>201
[110] OAuth 2.0 本体は認証 方式に特に名前を与えていませんが、
RFC 7591 >>8 OpenID Connect は名前を定義 >>109 RFC 7591 はIANA登録簿 を規定しているので、いくつかは
IANA登録簿 >>7 認証 方式があります。
client_secret_basic client_secret_post client_secret_jwt private_key_jwt none [27] 認可鯖 は、合言葉 で認証 する時は、 TLS を要求しなければなりません >>201 , >>89 総当たり攻撃 に対してエンドポイント を保護しなければなりません >>201
[60] 認可鯖 は基本認証 以外のHTTP認証 方式に対応しても構いませんが、
クライアント識別子 と当該認証方式との対応関係を定義しなければなりません >>201
[90] 認可鯖 は、Webアプリケーション たるクライアント に関して合言葉 よりも強い認証 手段を検討することが推奨encourage されています。
Webアプリケーション は合言葉 その他の credentials の機密 性を維持しなければなりません >>89
認証方式 none [111] none クライアント認証 なしを表します >>109 , >>8
合言葉に基づく認証方式 [28] 合言葉 password 基本認証 を使って構いません。
クライアント に合言葉 を発行した認可鯖 は、基本認証 に対応しなければなりません >>201
[118] Google と Facebook >>164 GitHub >>166 サービス >>119 , >>133 , >>142 , >>147 , >>159 , >>163 , >>185 ドキュメント に明記されている範囲では、
引数 を使う方法のみ対応していて、基本認証 には対応していないようです。[130] Twitter など >>129 , >>144 , >>175 , >>181 , >>6 基本認証 にのみ対応しているようです。[141] Spotify は基本認証 を原則とし、引数 を使う方法にも対応しています
>>140 Amazon は引数 を使う方法を原則とし、基本認証 にも対応しています
>>180 [174] Bitly は認可符号 フローにおいては引数 を使う方法のみ記載し、
資源所有者合言葉credentials フローにおいては基本認証 のみ記載しています >>172 Bitly はトークンエンドポイント において基本認証 のみ、
または基本認証 と client_id client_secret アクセストークン を取得する独自のフローを実装しており >>172 基本認証 は資源所有者 の利用者名 と合言葉 になります。[191] Ci は grant_type =password 資源所有者合言葉credentials
フローを装っていますが、クライアント の認証を引数 によって行い、
資源所有者 の認証を基本認証 によって行う >>190 OAuth 2.0 とは異なっています。[155] Salesforce は引数 を使う方法と、 JWT を使う方法に対応しています
>>154 , >>153 認証方式 client_secret_basic [29] 基本認証 を使う場合、利用者名 はクライアント識別子 を UTF-8 で
application/x-www-form-urlencoded 符号化 したもの、
合言葉 はクライアント の合言葉 を UTF-8 で
application/x-www-form-urlencoded 符号化 したものとします。
>>201 client_secret_basic >>109 , >>8
[30] 入力が名前と値の組でないわけですが、
application/x-www-form-urlencoded パーセント符号化 を使うという意味だと思われます。[31] なぜか認可鯖 側の解釈の方法は規定されていません。
[32] どの文字 がパーセント符号化 されるのか RFC および参照先の HTML4
では曖昧なので、鯖 は一旦復号 してから比較する必要がありそうです。認証方式 client_secret_post [33] 認可鯖 は、 payload body に引数 を指定する方式に対応しても構いません。
しかしクライアント は基本認証 を使えない場合のみこの方法を使うべきです payload body でなく要求URL 中で指定してはなりません >>201 client_secret_post >>109 , >>8
[59] その場合、クライアント は client_id 引数 にクライアント識別子 を、
client_secret 引数 にクライアント秘密client secret を指定しなければなりません クライアント秘密 が空文字列 なら、 client_secret 引数 は省略できます。 >>201
[57] client_secret 引数 の構文上の制約により、
この方法を使うなら合言葉 に含められるのは印字可能ASCII文字 に限られます。assertion に基づく認証方式 [112] OpenID Connect は JWT 形式で client_assertion 引数 と client_assertion_type 引数 を指定するクライアント認証 方式を
client_secret_jwt private_key_jwt
[5] RFC 7521 は client_assertion 引数 と client_assertion_type 引数 と省略可能な
client_id 引数 を使った assertion
によるクライアント認証 方式 >>4
クライアント認証 credentials に関する要件 [81] 認可鯖 は、ネイティブアプリケーション や利用者エージェントベースのアプリケーション であるクライアント にクライアント認証 用の合言葉 その他の
credentials を発行してはなりません ネイティブアプリケーション を特定の装置 上で動作させたものに対しては合言葉 その他の credentials
を発行しても構いません。 >>89
[94] 認可鯖 は、推測による攻撃を防がなければなりません トークン の場合、
攻撃者が推測できる確率は 2-128 以下 でなければならず -160 以下 であるべきです 末端利用者 が扱うcredentials の場合でも、
何らかの方法で保護しなければなりません >>89
[91] 認可鯖 は、クライアント認証 が不可能な時に、
クライアント の identity を検証validate する他の手段を用いるべき リダイレクトURL を登録させたり、資源所有者 に協力させたりできます。
認可鯖 は、性質上認証 できないクライアント についてはリダイレクトURL
の登録を求めなければなりません クライアント から資源所有者 を保護する方策をとるべきです リダイレクトURL が正しいからといってクライアント の identity
の検証には不十分ではありますが、 credentials を不正なクライアント に渡してしまうことは防止できます。 >>89
[92] 認可鯖 は認証していないクライアント とのやりとりのセキュリティー を勘案し、
更新トークン など他の credentials を渡さないなど注意しなければなりません >>89
[44] 認可鯖 はクライアント認証 を次の目的で使います >>34 [45] 更新トークン や認可符号 とその発行先のクライアント との紐付け。
認可符号 を安全でない通信路 でリダイレクトエンドポイント に送る時やリダイレクトURL
が完全に登録されていない時には特に重要です。[46] クライアント を無効化したり、credentials を変更したりして、
更新トークン が漏洩した時に濫用を防止。更新トークン をすべて変更するよりはこちらの方が容易です。[47] credentials の定期的な入れ替えrotation を含む認証 管理で良いとされている慣習の実行。
更新トークン をすべて入れ替えるのは大変ですが、クライアントcredentials 一式だけならずっと容易です。[93] 認可エンドポイント も参照。実装 [164] Access Tokens (2015-03-05 18:03:06 +09:00 版) https://developers.facebook.com/docs/facebook-login/access-tokens [119] Authorization Code Grant Flow (2015-03-05 10:35:42 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645542.aspx [159] SurveyMonkey - Guide OAuth (2015-03-05 17:23:37 +09:00 版) https://developer.surveymonkey.com/mashery/guide_oauth [166] OAuth | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth/ [129] Application-only authentication | Twitter Developers (2015-03-05 10:58:24 +09:00 版) https://dev.twitter.com/oauth/application-only [133] 1. OAuth認証 - ヤマレコ Web API (2015-02-25 16:41:06 +09:00 版) https://sites.google.com/site/apiforyamareco/api/oauth [140] Web API Authorization Guide - Spotify Developer (2015-03-05 15:59:09 +09:00 版) https://developer.spotify.com/web-api/authorization-guide/ [142] OAuth | Slack (Slack 著, 2015-03-05 16:04:09 +09:00 版) https://api.slack.com/docs/oauth [144] OAuth2 · reddit/reddit Wiki (2015-03-05 16:29:00 +09:00 版) https://github.com/reddit/reddit/wiki/OAuth2#user-content-token-retrieval-code-flow [147] • Instagram Developer Documentation (2015-03-05 16:42:50 +09:00 版) https://instagram.com/developer/authentication/ [154] Understanding the Web Server OAuth Authentication Flow (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_web_server_oauth_flow.htm [153] Understanding the Username-Password OAuth Authentication Flow (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_username_password_oauth_flow.htm [163] Authenticating with OAuth 2.0 | LinkedIn Developer Network (2015-03-05 17:56:22 +09:00 版) https://developer.linkedin.com/docs/oauth2 [172] Bitly API Documentation (2014-11-01 00:33:47 +09:00 版) http://dev.bitly.com/authentication.html [175] docomo Developer support API 共通リファレンス 第 2.0.4 版 (2015-03-02 17:25:25 +09:00 版) https://devsite-pro.s3.amazonaws.com/contents_file/API_common_reference_latest.pdf [180] Login with Amazon Developer Guide for Websites (2015-01-20 08:36:09 +09:00 版) https://images-na.ssl-images-amazon.com/images/G/01/lwa/dev/docs/website-developer-guide._TTH_.pdf [181] Yahoo OAuth 2.0 Guide - Yahoo Developer Network (2015-03-06 08:52:24 +09:00 版) https://developer.yahoo.com/oauth2/guide/ [185] Dropbox - Core API - endpoint reference (2015-03-06 09:07:10 +09:00 版) https://www.dropbox.com/developers/core/docs [190] Ci API Reference (2015-02-26 23:06:44 +09:00 版) http://developers.cimediacloud.com/#using-ci-user-credentials [6] REST API Reference - PayPal Developer (2015-07-02 12:54:14 +09:00 版) https://developer.paypal.com/docs/api/ 関連 [103] 本項のクライアント認証 は、 SSLクライアント認証 とは関係ありません。
[300] 理論上は TLSクライアント認証 を OAuth 2.0クライアント認証 の実現方式として採用することもできますが...