メインコンテンツへスキップ
プロトコル・技術

PAR

Pushed Authorization Requests

OAuth 2.0の認可要求パラメータをブラウザ経由で直接渡さず、クライアントから認可サーバーへ事前送信し、短い参照値で認可フローを進める仕様。

PARではクライアントが認可要求をバックチャネルで登録し、受け取ったrequest_uriを認可エンドポイントへ渡します。機密情報をURLへ載せるための仕組みではなく、要求の完全性やクライアント認証を強化する設計として利用します。

  • 初心者向けには「長い認可要求を先に安全な経路で登録し、ブラウザには参照番号だけを渡す方式」と捉える
  • request_uriには有効期限があり、認可サーバーが発行した値を使う
  • JARやJARMとは保護する対象と処理段階が異なる

よくある質問

PARとは?

OAuth 2.0の認可要求パラメータをブラウザ経由で直接渡さず、クライアントから認可サーバーへ事前送信し、短い参照値で認可フローを進める仕様。

PARについて詳しく知るには?

PARではクライアントが認可要求をバックチャネルで登録し、受け取ったrequest_uriを認可エンドポイントへ渡します。機密情報をURLへ載せるための仕組みではなく、要求の完全性やクライアント認証を強化する設計として利用します。

PARのポイントは?

初心者向けには「長い認可要求を先に安全な経路で登録し、ブラウザには参照番号だけを渡す方式」と捉える request_uriには有効期限があり、認可サーバーが発行した値を使う JARやJARMとは保護する対象と処理段階が異なる

← 用語集一覧に戻る
ESC