「OAuth & OIDC 勉強会 【入門編】」の続編です。入門編の内容をベースに、OAuth 2.0 / OIDC をサービスへ適用する際に重要となる「アクセストークン」の関連仕様とその実装について、OAuth 2.0 & OpenID Connect をフルスクラッチ実装したエンジニア(株式会社 Authlete 代表)が解説します。
#1
- アクセストークン発行
- トークンエンドポイント
- 認可エンドポイント
- クライアント通知エンドポイント
- アクセストークン利用
- Authorization Request Header Field
- Form-Encoded Body Parameter
- URI Query Parameter
- エラー応答
- WWW-Authenticate ヘッダー
- アクセストークン実装の分類
- 識別子型
- 内包型
- ハイブリッド型
#2
- アクセストークン情報取得
- RFC 7662: OAuth 2.0 Token Introspection
- 内包型アクセストークンの情報取得方法
- 内包型アクセストークンの検証
- 検証可能な方法で認可情報を内包
#3
- JWT 型アクセストークンの考慮事項
- 署名アルゴリズムの選択肢
- 非対称鍵系署名アルゴリズム選定時の注意点
- JWT 型アクセストークンの暗号化
- クレーム名
#4
- アクセストークン失効
- 識別子型アクセストークンの失効
- 内包型アクセストークンの失効
- RFC 7009: OAuth 2.0 Token Revocation
#5
- Proof of Possession
- RFC 8705: OAuth 2.0 Mutual-TLS Client Authentication and Certificate Bound Access Tokens
- OAuth 2.0 Demonstration of Proof-of-Possession at the Application Layer (DPoP)
#6
- Resource Indicators
- RFC 8707 : Resource Indicators for OAuth 2.0
- Rich Authorization Requests
- Rich Authorization Requests for OAuth 2.0 (RAR)
- resource パラメーター(RFC 8707)によるフィルタリング
- Pushed Authorization Requests
- Pushed Authorization Requests for OAuth 2.0 (PAR)
#7
- UserInfo
- UserInfo Endpoint
- クレーム群の要求・指定方法
- 「クレーム指定用スコープ群と claims JSON 内の “userinfo” オブジェクト」に相当する情報とアクセストークンとのひもづけ
#8
- 識別子型と内包型の比較
- 比較表
