OAuth 2.0 における scope [14] scope 適用範囲 ) は、アクセストークン によって資源所有者 がアクセスすることをクライアント から認められている資源 や操作の範囲を表すものです。
短い ASCII 文字列によって表されます。
[36] scope プログラム 的に利用されることを想定しており、
末端利用者 に表示することは想定していません >>34
構文 [7] scope 引数 の値は、
U+0020 認可鯖 定義の文字列 のリストです >>3 , >>33 , >>34 文字列 の順序は意味を持ちません >>3 , >>34
文字列 *U+0020 文字列 [9] 各文字列 は、印字可能ASCII文字 のうち、 U+0020 U+0022 U+005C 文字 以上の列です
>>3 , >>33 , >>34
[10] http://chars.suikawiki.org/set/%24rfc6749:scope-token-char [53] URL が用いられることがよくありますが、そうしなければならないわけではありません。
[8] 複数の文字列 の指定は、それぞれの適用範囲を足していくことを表します >>3
文脈 クライアントによる指定 [5] OAuth 2.0 クライアント は、認可エンドポイント
(認証符号 、暗示的承諾型 ) とトークンエンドポイント
(資源所有者合言葉credentials 、クライアントcredentials ) で要求 の
scope 引数 によってアクセス要求の適用範囲scope を指定することができます >>3 , >>15 , >>16 , >>19 , >>20
[24] クライアント は、トークンエンドポイント で更新トークン からアクセストークン を得る要求 で
scope 引数 によって取得したいアクセストークン の適用範囲 を指定することができます。
ただし、元々資源所有者 に承諾 された適用範囲 以外を指定してはなりません。
またこの引数 省略すると、元々資源所有者 に承諾 された適用範囲 を表します。
>>23
[26] クライアント は、必要な最小の適用範囲 を求めるべきです >>25
認可鯖による指定 [6] 認可鯖 は、発行したアクセストークン の適用範囲をクライアント に知らせるために応答 で
scope 引数 を指定します >>3
[18] 認可鯖 は、アクセストークン を求められた認可エンドポイント からリダイレクト されるリダイレクトURL の素片識別子 の
scope 引数 によってアクセストークン の適用範囲 を指定できます。
クライアント の要求と異なる適用範囲 である場合には、
scope 引数 を指定しなければなりません >>17
[22] 認可鯖 は、トークンエンドポイント からのアクセストークン を含む
JSON 応答 の
scope 引数 によってアクセストークン の適用範囲 を指定できます。
クライアント の要求と異なる適用範囲 である場合には、
scope 引数 を指定しなければなりません >>21
[27] クライアント の要求通りの適用範囲 とする時は、
明示しても省略しても構いません。資源鯖による指定 [35] 資源鯖 は、 WWW-Authenticate: Bearer ヘッダー に
scope 引数 を指定できます >>34
処理 [11] 認可鯖 は、認可鯖 の方針や資源所有者 の指示、
クライアント の identity に基づき、
クライアント に指定された適用範囲の一部または全部を無視して構いません >>3 , >>25 クライアント が要求した適用範囲と異なるアクセストークン を発行する時は、
応答 に scope 引数 を指定してアクセストークン の適用範囲を明示しなければなりません >>3
[30] 資源所有者合言葉credentials は特に危険であるとの認識から、
利用可能な適用範囲 をより限定的にすることを検討するべきです >>29
[12] クライアント が認可エンドポイント への要求で scope 引数 を指定しなかった時は、予め定義された既定値として処理するか、
妥当でない適用範囲として失敗にしなければなりません >>3
[13] 認可鯖 は適用範囲の要件と既定値を明文化するべきです >>3
[28] クライアント は、アクセストークン を得た時に scope 引数 を確認して、希望した適用範囲 がすべて認められたかどうかを調べる必要があります。
一部しか認められなかったとしても、その理由までは示されないので、
クライアントの登録 の設定を変更するなど認可鯖 依存の方法でクライアント の開発者が手動で操作しなければならない可能性もあります。
メモ [31] state 引数 の値には、クライアント や資源所有者 の繊細な情報を平文 で含めるべきではありません >>32
OpenID Connect の scope [38] OpenID Connect >>37 OAuth 2.0 の scope
[39] openid OpenID Connect
の実装は OpenID Connect により当該 OAuth 要求を処理することになります。
[40] profile email address phone >>37
[43] offline_access >>42
[41] OpenID Connect を実装しない場合、これらの値を OpenID Connect
が規定する意味に従って解釈する義務はありません。しかし openid OpenID 以外で使用する意味は無いでしょう。またそれ以外の値は将来
OpenID Connect に対応する可能性があるなら、 OpenID Connect
と矛盾する意味で使うべきでは無いでしょう。
メモ [44] Using OAuth 2.0 for Web Server Applications - Google Accounts Authentication and Authorization — Google Developers
(2014-12-05 11:52:25 +09:00 版)
https://developers.google.com/accounts/docs/OAuth2WebServer#incrementalAuth
[45] Cross-client Identity - Google Accounts Authentication and Authorization — Google Developers
(2014-10-24 09:43:45 +09:00 版)
https://developers.google.com/accounts/docs/CrossClientAuth
[46] OAuth 1.0 API Reference - Google Accounts Authentication and Authorization — Google Developers
(2014-12-05 11:52:26 +09:00 版)
https://developers.google.com/accounts/docs/OAuth_ref#Parameters (required) URL identifying the service(s) to be accessed. The resulting token enables access to the specified service(s) only. Scopes are defined by each Google service; see the service's documentation for the correct value. To specify more than one scope, list each one separated with a space. This parameter is not defined in the OAuth standards; it is a Google-specific parameter.
[47] Google は OAuth 1.0 時代から scope >>46
[50] はてな は OAuth 1.0 で scope 引数 を使っていますが、
, >>48 , >>49
[52] GitHub は OAuth 2.0 scope ,
, [48] Consumer key を取得して OAuth 開発をはじめよう - Hatena Developer Center (2015-03-05 15:23:31 +09:00 版) http://developer.hatena.ne.jp/ja/documents/auth/apis/oauth/consumer#token [49] はてな OAuth scope (許可操作) 一覧 - Hatena Developer Center (2015-03-05 15:22:47 +09:00 版) http://developer.hatena.ne.jp/ja/documents/auth/apis/oauth/scopes [51] OAuth | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth/