OAuth 2.0
定義
OAuth 2.0はサードパーティアプリケーションがユーザーのパスワードを共有することなく、リソースサーバー上のユーザーリソースへの限定的なアクセスを認可するフレームワーク(RFC 6749)です。「Googleアカウントでログイン」「GitHubとアプリを連携する」といった機能の裏側で動いています。フローにはWebアプリ向けのAuthorization Code(PKCEと組み合わせが推奨)・モバイル・SPA向けのPKCE・サーバー間通信向けのClient Credentials等があります。OAuth 2.0は認可フレームワークであり認証を直接担わないため、「誰がログインしているか」を扱うにはOpenID Connect(OIDC)を組み合わせるのが正しい設計です。オープンリダイレクト・stateパラメータ省略(CSRF)・PKCEなしのimplicit flow(トークン漏洩)が攻撃ベクタになるため、OAuth 2.0 Security Best Current Practicesに従った実装が重要です。
関連用語
OAuth 2.0が登場する記事・比較
よくある質問
OAuth 2.0とは?
サードパーティアプリがユーザーのリソースに限定的にアクセスするための認可フレームワーク。「Googleアカウントでログイン」などの実装に使われる。認可を担い、認証はOpenID Connectが担当する。
同じカテゴリの用語(プロトコル・技術)
APIやリソースへアクセスするために提示する短命なトークン。漏えい時は有効期限、権限範囲、失効可否を確認する。…
現在最も広く使われる対称暗号アルゴリズム。128・192・256ビットの鍵長をサポート。ECB・CBC・GCMなど複数の…
API利用者やアプリケーションを識別し、操作権限を与えるための秘密値。漏えい時は失効と再発行が必要になる。…
メール転送やメーリングリストを経由した後でも、元の認証結果を一定程度検証できるようにする仕組み。…
DMARCなどの認証を満たしたメールにブランドロゴを表示し、正当な送信者であることを示しやすくする仕組み。…
どの認証局が自社ドメインのTLS証明書を発行できるかをDNSで指定するレコード。…