OAuth 2.0 シーケンス

概要

Endpoints

OAuth 2.0 の Authorization Server では以下のエンドポイントを利用する。

  • Authorization Endpoint : 認証をおこない、Authorization Code または Access Token を発行する。
  • Token Endpoint : 認証情報または Authorization Code から、Access Token を発行する。
  • Introspection Endpoint : Access Token の有効性確認をおこなう。Authorization Server と Resource Server が同じ場合は不要。

RFC 6749, 4.1 : Authorization Code Grant

  • フロントのユーザー認証に対して Authorization Code を発行し、バックエンドで Access Token に交換する。
  • Access Token の発行時にクライアント認証が可能。(OPTIONAL)
  • Client に Access Token を開示しない。

uml diagram

Token Refresh

uml diagram

RFC 6749, 4.2 : Implicit Grant

  • Authorization Code Grant から Authorization Code を省略したもの。
  • クライアント認証はおこなえない。
  • Client に Access Token を開示する。
  • Refresh Token は発行されない。

uml diagram

RFC 6749, 4.3 : Resource Owner Password Credentials Grant

  • クライアントアプリケーションがユーザーの ID とパスワードを受け取る。

uml diagram

RFC 6749, 4.4 : Client Credentials Grant

  • クライアントの認証のみをおこなう。
  • Refresh Token は発行されない。

uml diagram

参考

セキュリティに関する参考文献