OAuth 1.0 トークン要求 [8] クライアント は、資源所有者認可 の後、
トークン要求 token request トークンcredentials を鯖 から得ることができます。
[9] トークン要求 は、クライアントcredentials と
(トークンcredentials のかわりに) 一時credentials を使って認証された要求 です
>>7
oauth_token 一時credentials の識別子 となります。[10] トークン要求 は、原則として要求メソッド POST >>7 鯖 が何らかの方法で他の要求メソッド を広告 した場合には、
そちらを使うこともできます >>7
[11] トークン要求 は、鯖 が何らかの方法で広告 したトークン要求 のエンドポイント を要求URL として使います >>7
[105] このエンドポイント ないし URL に OAuth 1.0
は特に名前を与えていませんでしたが、 OAuth 2.0 のトークンエンドポイント に相当します。[13] 鯖 は、トークン要求 で保安輸送路 を使わなければなりません >>7
[12] クライアント は、資源所有者認可 の結果得られた検証符号
(を資源所有者 経由で知ったもの) を oauth_verifier 引数 に指定しなければなりません >>7
[132] Twitter xAuth はそのかわりに
x_auth_password x_auth_username x_auth_mode >>131
[138] OAuth Session Extension はそのかわりに
oauth_session_handle 一時credentials のかわりに現行のアクセストークン を使うことで、
アクセストークン の更新ができるとしています >>137
[139] 後の OAuth 2.0 の更新トークン に相当する機能です。[171] クライアント は oauth_body_hash 引数 を指定するべきではありません >>170
[131] POST oauth/access_token | Twitter Developers (2015-03-05 11:38:49 +09:00 版) https://dev.twitter.com/oauth/reference/post/oauth/access_token [137] Implementers' Draft: OAuth Session 1.0 Draft 1 (2008-08-22 09:10:13 +09:00 版) http://oauth.googlecode.com/svn/spec/ext/session/1.0/drafts/1/spec.html#update_access_token [14] 鯖 は、トークン要求 を受信したら次の点を確認しなければなりません >>7 [15] 要求 が妥当であるか検証 する[16] 資源所有者 がクライアント にトークンcredentials を与えることを認可 していることを確認する[17] 一時credentials が満期 となっておらず、使用済みでもないか確認する[18] 検証符号 が正しいものか確認する
[19] 確認できたなら、状態符号 200 MIME型 application/x-www-form-urlencoded payload body の応答 とします >>7
[195] Twitter の鯖 は application/x-www-form-urlencoded Content-Type: text/html クライアント は Content-Type: ヘッダー を無視しなければなりません。 2013-09-14T08:16:00.100Z [20] payload body には次の引数 を含めなければなりません >>7 payload body (application/x-www-form-urlencoded oauth_token トークン識別子 oauth_token_secret トークン共有秘密
[136] OAuth Session Extension は更に次の引数 を追加しています。oauth_session_handle oauth_authorization_expires_in oauth_expires_in
[192] Twitter は次の引数 を追加しています。
[177] Flickr は次の引数 を追加しています >>176 fullname user_nsid username
[169] はてな は次の引数 を追加しています >>168
[184] Dropbox は uid 引数 を追加しています >>183
[187] Evernote は edam_noteStoreUrl edam_userId edam_expires >>186
[176] Flickr Services (2015-03-06 01:25:01 +09:00 版) https://www.flickr.com/services/api/auth.oauth.html [168] Consumer key を取得して OAuth 開発をはじめよう - Hatena Developer Center (2015-03-05 19:09:33 +09:00 版) http://developer.hatena.ne.jp/ja/documents/auth/apis/oauth/consumer [183] Dropbox - Core API - endpoint reference (2015-03-06 09:07:10 +09:00 版) https://www.dropbox.com/developers/core/docs [186] 認証 - Evernote Developers (2015-03-06 09:30:38 +09:00 版) https://dev.evernote.com/intl/jp/doc/articles/authentication.php [135] OAuth 1.0 本体仕様としてはエラー時の応答については規定していません。
OAuth Problem Reporting Extension は報告方法を規定しており、
実装によってはこれに対応しています。
OAuth 2.0 トークンエンドポイント [35] 認可鯖 のトークンエンドポイント token endpoint クライアント が認可承諾 や更新トークン を使ってアクセストークン を得るために使うものです。
トークンエンドポイント は、
暗示的承諾型 以外の承諾型 (認可符号 、資源所有者合言葉credentials 、
クライアントcredentials ) で使います。 >>34
トークンエンドポイントへの要求 [36] クライアント がトークンエンドポイント の位置を知る方法は OAuth
の仕様の範囲外とされていますが、普通はサービス のドキュメント で示されます >>34
[38] トークンエンドポイント は TLS を使わなければなりません >>34 , >>89 アクセストークン 、更新トークン を転送する場合は HTTPS鯖認証 を使わなければなりません >>89 クライアント は RFC 6125 により認可鯖 のTLS証明書 を検証し鯖 の
identity を認証 しなければなりません >>89
[37] トークンエンドポイント の URL は
application/x-www-form-urlencoded query
を含んでも構いません。素片識別子 を含んではなりません query が含まれる場合、引数 を追加するときにはそのまま残さなければなりません >>34
[199] feedly は Content-Type: application/json JSON payload body によって引数 を指定することを認めています
>>197
[48] クライアント は、認可符号 からアクセストークン を得るためにトークンエンドポイント に要求 を送信する場合、
application/x-www-form-urlencoded payload body
により次の引数 を指定します >>52 payload body (application/x-www-form-urlencoded grant_type authorization_code なりません >>52 code 受信した認可符号 を指定しなければなりません >>52 redirect_uri 認可エンドポイント への要求で
redirect_uri 引数 を指定した場合は、同じ値を指定しなければなりません >>52 client_id クライアント認証 しない場合は指定しなければなりません >>52 , >>34 code_verifier PKCE
[120] Azure は resource 引数 を追加しています >>119
[150] Salesforce は code_verifier format >>149
[119] Authorization Code Grant Flow (2015-03-05 10:35:42 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645542.aspx [149] Understanding the Web Server OAuth Authentication Flow (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_web_server_oauth_flow.htm [50] クライアント は、資源所有者 の credentials からアクセストークン を得るため
(資源所有者合言葉credentials フロー) にトークンエンドポイント に要求 を送信する場合、
application/x-www-form-urlencoded payload body
により次の引数 を指定します >>61 payload body (application/x-www-form-urlencoded grant_type password なりません >>61 username 資源所有者 の利用者名 を指定しなければなりません >>61 password 資源所有者 の合言葉 を指定しなければなりません >>61 scope アクセス要求の適用範囲 を指定できます >>61
[66] クライアント は、クライアントcredentials からアクセストークン を得るため
(クライアントcredentials フロー) にトークンエンドポイント に要求 を送信する場合、
application/x-www-form-urlencoded payload body
により次の引数 を指定します >>65 payload body (application/x-www-form-urlencoded grant_type client_credentials なりません >>65 scope アクセス要求の適用範囲 を指定できます >>65
[125] Azure は resource 引数 を追加しています >>124
[146] reddit は場合によって grant_type =https://oauth.reddit.com/grants/installed_client device_id 引数 を追加しています。 >>145
[124] Service to Service Calls Using Client Credentials (2015-03-05 10:43:44 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645543.aspx [145] OAuth2 · reddit/reddit Wiki (2015-03-05 16:39:22 +09:00 版) https://github.com/reddit/reddit/wiki/OAuth2#user-content-application-only-oauth [2] クライアント は、更新トークン からアクセストークン を得るためにトークンエンドポイント に要求 を送信する場合、
application/x-www-form-urlencoded payload body
により次の引数 を指定します >>1 payload body (application/x-www-form-urlencoded grant_type refresh_token なりません >>1 refresh_token クライアント に発行されている更新トークン を指定しなければなりません >>1 scope アクセス要求の適用範囲 を指定できます >>1 資源所有者 に承諾 された適用範囲 以外を指定してはなりません >>1 資源所有者 に承諾 された適用範囲 を表します >>1
[122] Azure は resource 引数 を追加しています >>119
[158] Salesfoce は format 引数 を追加しています >>157
[203] assertion を使う場合は、 grant_type 引数 を assertion の種別を表す絶対URL 、 assertion 引数 を assertion の値とします。 scope 引数 も指定できます。 >>202
[70] 例えば SAML 2.0 が拡張の承諾型 を規定しています。
[113] 例えば JWT を使う場合、
grant_type =urn:ietf:params:oauth:grant-type:jwt-bearer assertion 引数 を指定します。
[114] Google がこれを実装している >>115 [115] Using OAuth 2.0 for Server to Server Applications - Google Accounts Authentication and Authorization — Google Developers (2015-02-04 03:07:26 +09:00 版) https://developers.google.com/accounts/docs/OAuth2ServiceAccount
[69] クライアント は、拡張の承諾型 の規定に従いトークンエンドポイント に要求 を送信する場合、
grant_type 引数 に絶対URL を指定し、
必要に応じて追加の引数 も指定します >>68
[116] Google は OAuth 1.0 から OAuth 2.0 への移行のために
grant_type =urn:ietf:params:oauth:grant-type:migration:oauth1 OAuth 2.0 クライアント認証 、 OAuth 1.0 による
HTTP認証 、省略可能な scope 引数 を指定することで、
更新トークン を得ることができるものです。
urn:ietf:params:oauth:grant-type:migration:oauth1 [165] Facebook の grant_type =fb_exchange_token fb_exchange_token 引数 を使っています >>164
[123] Azure は grant_type response_type 引数 に相当するものを指定させています >>119 , >>124 [41] 要求 の引数 は、複数指定してはなりません >>34
[160] SurveyMonkey は payload body ではなく URL query に
api_key 引数 を指定することを求めています >>159
[189] GitLab は要求 の payload body の JSON によって引数 を指定させています >>188
[159] SurveyMonkey - Guide OAuth (2015-03-05 17:23:37 +09:00 版) https://developer.surveymonkey.com/mashery/guide_oauth [161] Connecting (2015-03-05 17:39:49 +09:00 版) https://developer.foursquare.com/overview/auth [164] Access Tokens (2015-03-05 18:03:06 +09:00 版) https://developers.facebook.com/docs/facebook-login/access-tokens [188] gitlabhq/oauth2.md at master · gitlabhq/gitlabhq (2015-03-06 10:46:37 +09:00 版) https://github.com/gitlabhq/gitlabhq/blob/master/doc/api/oauth2.md [39] クライアント はトークンエンドポイント への要求 で POST 要求メソッド を使わなければなりません >>34
[162] Facebook >>164 fouresquare >>161 GET
クライアント認証 [22] クライアント は、トークンエンドポイント や
revokeエンドポイント への要求 で、
client_id 引数 を指定できます。また、
場合によっては認証 に必要な情報を指定しなければなりません。
[23] 認可サーバー は、トークンエンドポイント やrevokeエンドポイント で、
場合によってはクライアント認証 を行わなければなりません。
[24] 詳細は、OAuth 2.0クライアント認証 を参照。
[25] TLSクライアント認証 とは関係ありません。トークンエンドポイントの処理 [83] 認可鯖 は、認識できない引数 を無視しなければなりません >>34
[40] 要求 の引数 に値が含まれなければ、指定されなかったものと扱わなければなりません >>34
application/x-www-form-urlencoded = 空文字列 が指定された場合と区別する必要があるということでしょうか??[54] 認可鯖 は、認可符号 からアクセストークン の発行を求められている場合、
認可符号 が妥当なものであることを確認しなければなりません >>52 認可符号 は1回しか使えません。
[100] 攻撃者は大量の要求 でクライアント に適当な認可符号 を与え、認可鯖 にアクセスさせることで、
間接的に認可鯖 のHTTP接続 を枯渇させる DoS攻撃 を試みるかもしれません。
認可鯖 には攻撃者の情報がほとんど届かず、対策が難しい攻撃です。
認可鯖 は不適切な認可符号 があまりに多いクライアント には誤り 応答を返すべきかもしれません >>99
[99] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.4.1.12 [53] 認可鯖 は、認可符号 からアクセストークン の発行を求められている場合、
[32] クライアント型 が機密 のクライアント に対するものであるか、[33] クライアント型 が公開 のクライアント に対するもので認可符号 の発行先と
client_id のいずれかを満たすことを確認しなくてはなりません >>52 , >>89
[102] 攻撃対象のクライアント がいわゆるOAuthログイン を実装している場合において、攻撃者の有するクライアント に攻撃対象の資源所有者 を誘導して認可符号 を取得し、その認可符号 を攻撃対象のクライアント に与えることで、攻撃者が攻撃対象クライアント における攻撃対象資源所有者 になりすましてログイン できてしまいます >>101 公開 のクライアント に関してこれを防ぐことはできません。
[43]
つまり実行環境非公開のウェブサーバー 内部でトークンエンドポイント を呼び出す
Webサービス のような利用形態なら、認可鯖 が適切に検査していれば、
クライアント の credentials が流出しない限りにおいて、
たとえ認可符号 が流出したとしても攻撃は防げます。
ところが一般配布されるスマートフォンアプリ のような利用形態だと、
クライアント の credentials は攻撃者も入手可能な状態にあるので、
認可符号 の流出は致命的な問題になります。
[44]
流出の可能性として考えられるのは、
[45] 関係するWebアプリケーション に XSS脆弱性 、
サーバーへの侵入など深刻なセキュリティー 上の問題が発生している時[46] 認可鯖 のリダイレクト 先に本来のクライアント の URL
以外の攻撃者のサーバーが指定できるなど、
OAuth の実装に深刻なセキュリティー 上の問題が存在する時[47] 関係するWebアプリケーション が素のHTTP
を使っている、利用者 が MITM proxy を使っているなど、
通信路 に深刻なセキュリティー 上の問題が発生している時[57]
利用者 の Webブラウザー が悪意ある提供者によるもの
(いわゆるアプリ内ブラウザー など)
など、
利用環境に深刻なセキュリティー 上の問題が発生している時[49] 認可鯖 のリダイレクト 先に HTTP(S) URL 以外の一般的でない
URL scheme (スマホアプリ のいわゆるカスタムURL scheme など URL Scheme Hijacking )
のようなセキュリティー に問題があるものが使われている時などでしょうか。
[101] RFC 6819 - OAuth 2.0 Threat Model and Security Considerations (2015-02-10 06:43:00 +09:00 版) http://tools.ietf.org/html/rfc6819#section-4.4.1.13 [54] 認可鯖 は、認可符号 からアクセストークン の発行を求められている場合、
認可エンドポイント へのアクセス時に redirect_uri 引数 が指定されていたなら本要求にも redirect_uri 引数 が含まれており、両者の値が一致することを確認しなければなりません >>52 , >>89
[62] 認可鯖 は、資源所有者 の credentials からアクセストークン の発行を求められている場合、
指定された credentials を検証しなければなりません >>52
[3] 認可鯖 は、更新トークン からアクセストークン の発行を求められている場合、
指定された更新トークン を検証しなければなりません >>1 クライアント認証 可能であれば、正しいクライアント か検証しなければなりません >>89
[63] 認可鯖 は、回数制限や警告などにより、資源所有者合言葉credentials
の総当たり攻撃 からエンドポイント を保護しなければなりません >>52
[95] 認可鯖 は CSRF 対策が必要です。資源所有者 の credentials
を第三者に漏らしてしまう形の攻撃は難しそうですが、認可鯖 (や間接的にクライアント )
に対する DoS攻撃 や、 CSRF を引き起こされた被害者たる
Webブラウザー の利用者への嫌がらせには使えるかもしれません。
[96] その性質上、CSRF 対策用のトークンを指定させるような方法は使えません。
Origin: ヘッダー の値とクライアント の登録情報を比較して不適切な要求 を検出するのがよいでしょうか。トークンエンドポイントの応答 [56] 認可鯖 は、アクセストークン の発行を求められている場合、
要求が妥当であり認可 されたなら、アクセストークン を発行します
>>55 , >>64 , >>67 , >>68 , >>1
[4] 認可符号 や資源所有者合言葉credentials 、拡張の承諾型 では、
更新トークン も発行することもできます >>55 , >>64 , >>68 クライアント認証 していない場合には発行するべきではないかもしれません >>89
[5] クライアントcredentials では、
更新トークン を発行するべきではありません >>67
[6] 更新トークン からアクセストークン を求めている場合には、
新しい更新トークン を発行しても構いません。その適用範囲
(scope ) は元の更新トークン と同じでなければなりません 認可鯖 は古い更新トークン を取り消し (revoke )
して構いませんし、クライアント は古い更新トークン を破棄しなければなりません >>1
[72] その場合には、 200 応答 で次の引数 を
JSON (application/json payload body の
JSONオブジェクト の名前と値 (文字列 なら JSON文字列 、
数値 なら JSON数値 ) に含めます >>71 payload body (JSONオブジェクト )[73] access_token 認可鯖 が発行したアクセストークン を指定しなければなりません >>71 [74] token_type 発行したトークン の種類を指定しなければなりません >>71 [75] expires_in アクセストークン の寿命 を秒 単位で指定するべきです >>71 [76] refresh_token 同じ認可承諾 を使って新しいアクセストークン を得られる更新トークン を指定できます >>71 [77] scope クライアント が要求した適用範囲 とアクセストークン の適用範囲 が異なるなら、指定しなければなりません >>71 [107] id_token OpenID Connect の場合には指定しなければなりません >>108
[78] どれが文字列でどれが数値かは明確ではありませんが、
expires_in 数値 、それ以外は文字列 と思われます。[106] アクセストークン型 によっては、更に追加の引数 を指定する必要があるかもしれません。
アクセストークン型 を参照。[117] grant_type =urn:ietf:params:oauth:grant-type:migration:oauth1 refresh_token 更新トークン ) のみが返されることになっていました。
[121] Azure は resource 引数 と
expires_on 引数 を追加しています >>119
[134] ヤマレコ は token_type 引数 を指定せず、
成功時でも error 引数 と error_message 引数 (独自) を指定するようです >>133
[148] Instagram は token_type 引数 を指定せず、
user 引数 (独自) を指定するようです >>147
user JSONオブジェクト です。[173] Bitly は apiKey 引数 (独自) を指定するようです。
ただし非推奨で削除予定とあります。 >>172 2015-03-05T16:02:49.500Z
[179] Heroku は user_id session_nonce >>178
[182] Yahoo! は xoauth_yahoo_guid >>181
[198] feedly は plan >>197
[143] foursquare など >>161 , >>163 , >>142 , >>172 token_type 引数 を指定しないようです。
[194] Facebook は token_type 引数 を指定しません。
expires_in expires 引数 に time_t 値を指定するようです。
[152] Salesforce は token_type 引数 を指定しないようです。
独自の id instance_url issued_at signature >>149 , >>156 , >>157
[151] Salesforce は要求 で format 引数 を指定した場合に応答 が他のMIME型 になるようです >>149 , >>157
[167] GitHub は要求 で Accept: 応答 が他の
MIME型 になるようです。既定値は application/x-www-form-urlencoded >>166
[193] Facebook は応答 に application/x-www-form-urlencoded Content-Type: text/plain ; charset =UTF-8 2015-03-10T15:02:45.900Z
[30] その後 JSON に修正 (非互換変更) されています >>29
[42] 応答 の引数 は、複数指定してはなりません >>34
[79] 更に、 Cache-Control: no-store Pragma: no-cache なりません >>71
[80] クライアント は、認識できない名前の引数 を無視しなければなりません >>71
[56] 認可鯖 は、アクセストークン の発行を求められている場合、
クライアント認証 に失敗したか要求が非妥当であったなら、
誤り応答を返します >>55 , >>64 , >>67 , >>68 , >>1
[88] その場合には、 400 応答 で次の引数 を
JSON (application/json payload body の
JSONオブジェクト の名前と値 (文字列 なら JSON文字列 、
数値 なら JSON数値 ) に含めます >>87 payload body (JSONオブジェクト )[84] error 誤り符号 を指定しなければなりません >>87 [85] error_description 人間可読 な誤り の説明を指定して構いません
>>87 [86] error_uri 人間可読 な誤り の説明を含むWebページ の URL
を指定して構いません >>87
[126] 誤り符号 によっては、他の HTTP 状態符号 を使うこともあるようです。[127] Azure は timestamp trace_id correlation_id error_codes >>128
[166] OAuth | GitHub API (2015-03-05 18:02:01 +09:00 版) https://developer.github.com/v3/oauth/ [128] Token Issuance Endpoint Errors (2015-03-05 10:47:08 +09:00 版) https://msdn.microsoft.com/en-us/library/azure/dn645548.aspx [133] 1. OAuth認証 - ヤマレコ Web API (2015-02-25 16:41:06 +09:00 版) https://sites.google.com/site/apiforyamareco/api/oauth [142] OAuth | Slack (Slack 著, 2015-03-05 16:04:09 +09:00 版) https://api.slack.com/docs/oauth [147] • Instagram Developer Documentation (2015-03-05 16:42:50 +09:00 版) https://instagram.com/developer/authentication/ [156] Understanding the Username-Password OAuth Authentication Flow (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_username_password_oauth_flow.htm [157] Understanding the OAuth Refresh Token Process (2015-02-28 04:30:54 +09:00 版) https://www.salesforce.com/us/developer/docs/api_rest/Content/intro_understanding_refresh_token_oauth.htm [163] Authenticating with OAuth 2.0 | LinkedIn Developer Network (2015-03-05 17:56:22 +09:00 版) https://developer.linkedin.com/docs/oauth2 [172] Bitly API Documentation (2014-11-01 00:33:47 +09:00 版) http://dev.bitly.com/authentication.html [178] OAuth | Heroku Dev Center (2015-03-06 08:03:38 +09:00 版) https://devcenter.heroku.com/articles/oauth#oauth-flow-response [181] Yahoo OAuth 2.0 Guide - Yahoo Developer Network (2015-03-06 08:52:24 +09:00 版) https://developer.yahoo.com/oauth2/guide/ [197] Authentication | feedly Cloud API (2015-01-23 08:10:58 +09:00 版) https://developer.feedly.com/v3/auth/ [51] error invalid_client 401 応答 とすることもできます。
クライアント が Authorization: ヘッダー で認証 を試みた場合には、
401 応答 と WWW-Authenticate: ヘッダー (auth-scheme は要求 で指定されたもの) を使って応答 しなければなりません >>87