OAuth & OIDC 勉強会 【アクセストークン編】


OAuth & OIDC 勉強会 【入門編】」の続編です。入門編の内容をベースに、OAuth 2.0 / OIDC をサービスへ適用する際に重要となる「アクセストークン」の関連仕様とその実装について、OAuth 2.0 & OpenID Connect をフルスクラッチ実装したエンジニア(株式会社 Authlete 代表)が解説します。

#1

Watch on YouTube

  • アクセストークン発行
    • トークンエンドポイント
    • 認可エンドポイント
    • クライアント通知エンドポイント
  • アクセストークン利用
    • Authorization Request Header Field
    • Form-Encoded Body Parameter
    • URI Query Parameter
  • エラー応答
    • WWW-Authenticate ヘッダー
  • アクセストークン実装の分類
    • 識別子型
    • 内包型
    • ハイブリッド型

#2

ビデオ & 文字起こし

  • アクセストークン情報取得
    • RFC 7662: OAuth 2.0 Token Introspection
    • 内包型アクセストークンの情報取得方法
  • 内包型アクセストークンの検証
    • 検証可能な方法で認可情報を内包

#3

ビデオ & 文字起こし

  • JWT 型アクセストークンの考慮事項
    • 署名アルゴリズムの選択肢
    • 非対称鍵系署名アルゴリズム選定時の注意点
    • JWT 型アクセストークンの暗号化
    • クレーム名

#4

ビデオ & 文字起こし

  • アクセストークン失効
    • 識別子型アクセストークンの失効
    • 内包型アクセストークンの失効
    • RFC 7009: OAuth 2.0 Token Revocation

#5

Watch on YouTube

  • Proof of Possession
    • RFC 8705: OAuth 2.0 Mutual-TLS Client Authentication and Certificate Bound Access Tokens
    • OAuth 2.0 Demonstration of Proof-of-Possession at the Application Layer (DPoP)

#6

Watch on YouTube

  • Resource Indicators
    • RFC 8707 : Resource Indicators for OAuth 2.0
  • Rich Authorization Requests
    • Rich Authorization Requests for OAuth 2.0 (RAR)
    • resource パラメーター(RFC 8707)によるフィルタリング
  • Pushed Authorization Requests
    • Pushed Authorization Requests for OAuth 2.0 (PAR)

#7

Watch on YouTube

  • UserInfo
    • UserInfo Endpoint
    • クレーム群の要求・指定方法
    • 「クレーム指定用スコープ群と claims JSON 内の “userinfo” オブジェクト」に相当する情報とアクセストークンとのひもづけ

#8

ビデオ & 文字起こし

  • 識別子型と内包型の比較
    • 比較表