プレゼンテーションのまとめと、紹介した仕様をすべて実装している Authlete の概要についてお話しします。
2012 年に OAuth 2.0 (RFC 6749 / 6750)、2014 年に OIDC 1.0、そして 2015 年に PKCE (RFC 7636) / JWT (RFC 7519) がそれぞれ標準仕様となり、いまでは多方面に活用されるようになりました。一方で 2015 年以降も、さまざまな OAuth 2.0 拡張仕様が登場し、さらに OAuth 2.0 / OIDC 適用のプラクティスも改良されています。
もしかしたら、数年前には標準が存在せず独自拡張を試みるしかなかったユースケースに、いままさに策定中の仕様が活用できるかもしれません。あるいは、以前は最良であると考えられていた OAuth 2.0 適用の定石も、いまでは時代遅れになっているかもしれません。
今回の勉強会では、主に「ポスト PKCE / JWT(2015 年以降)」を中心に、Authlete 社の独断と偏見により、2020 年に注目すべき OAuth 2.0 / OIDC 関連仕様とプラクティスをご紹介します。
今後普及が期待される仕様として、“Device Flow” / CIBA / Identity Assurance について紹介します。
Lodging Intent Pattern の概要と、関連仕様である Pushed Authorization Requests (PAR) / Rich Authorization Requests (RAR) について紹介します。
Financial-grade API (FAPI) について、Request Object / Hybrid Flow / JARM を中心に紹介します。
策定が進む OAuth 2.0 Security Best Current Practice に関連する、周辺仕様の概要を紹介します。
OAuth 2.0 と OpenID Connect の概要、JWT (JSON Web Token)、そしてこれらの仕様が策定された当時の状況についてお話しします。