『#OAuth & #OIDC 勉強会（#FAPI & #CIBA 特集）』ツイートまとめ

kazuki229 @kazuki229_dev

リダイレクトURIにはhttps以外のスキームを使えないということは、in-app browser tabは利用できないのか #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

@kazuki229_dev FAPI 第二版により、リダイレクト URI のスキームに https しか使えなくなりました。外部 Web サーバーを立てずにクライアント側だけでリダイレクト処理を完結させたい場合、BCP 212 の「7.2. Claimed "https" Scheme URI Redirection」を使う必要があります。 #FAPI & #CIBA 特集 #Authlete

sawadashota @xioota

Public ClientじゃなくてもPKCEやろう #authlete

ken\d\x @ken5scal

Androidはapp linkがあるけど、iosはあるんだろうか？#authlete

██████████████████████ @motchang

オッ、オープンリダイレクトだ #authlete

ken\d\x @ken5scal

次回の技術書典で、いろいろ更新しないとな…　#authlete

ken\d\x @ken5scal

#authlete　x-fapi-***(みすった）はrequestとresponseを紐付ける。why?

██████████████████████ @motchang

わかった。 spec 読めってことだな。 #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

FAPI に準拠する API は、x-fapi-interaction-id HTTP ヘッダーを応答に含める。その値は、リクエストに x-fapi-interaction-id HTTP ヘッダーが含まれていればその値と同じ値を、そうでなければ UUID をサーバー側で生成して用いる。 #FAPI & #CIBA 特集 #Authlete

ken\d\x @ken5scal

X-fapi計ヘッダがなぜ必要なのかわかってない勢です　#authlete

ken\d\x @ken5scal

Hybrid flowをspaなクライアントからやる場合って、どういうフローになるかわかってない勢です #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

@ken5scal x-fapi-interaction-id は、クライアント側のログとサーバー側のログの付き合わせを容易にするために導入された仕組みです。FAPI Part 1: 6.2.1. Protected resources provisions, 12. には、x-fapi-interaction-id の値をログに残さなければならないと書いています。 #FAPI & #CIBA 特集 #Authlete

kazuki229 @kazuki229_dev

認可リクエストオブジェクトの参照渡しも可能なのか〜 #authlete

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

FAPI Part 2 では Detached Signature として ID トークンを用いるので、本来の用途で使わないとしても ID トークンを要求しなければならない。ただし、JARM を使う場合（response_mode に *.jwt を指定した場合）、この限りではない。 JARM openid.net/specs/openid-f… #FAPI & #CIBA 特集 #Authlete

ken\d\x @ken5scal

#Authlete Jarm知らなかった。oidcのHybrid flowでなくとも良い。Oauth認可コードフローでおけ

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

JARM については、『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』という記事の『JWT Secured Authorization Response Mode』にも解説があります。ちなみに Authlete 2.1 は JARM 実装済みです。 qiita.com/TakahikoKawasa… #FAPI & #CIBA 特集 #Authlete

kazuki229 @kazuki229_dev

OAuth Token BindingはFAPIではあまり出てこない #authlete

kazuki229 @kazuki229_dev

JARM(じゃーむ) #authlete

ken\d\x @ken5scal

#Authlete token binding, chromiumが外す宣言してやいのやいのあったけど、結局どうなったんだろう

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

FAPI Part 2 では、クライアント認証は MTLS（tls_client_auth or self_signed_tls_client_auth）もしくは private_key_jwt のみ。client_secret_jwt は使えない。Basic 認証（client_secret_basic）が使えないのは Part 1 と同様。 #FAPI & #CIBA 特集 #Authlete

kazuki229 @kazuki229_dev

PII(personally identifiable information) 個人を特定できる情報 #authlete

ym @ym405nm

オープンリダイレクトの闇... #authlete

ken\d\x @ken5scal

#authlete　x-fapi-interacti9n-idが必要なのは、どっちかって言うとOauth 的な文脈っぽい

Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect @darutk

@ken5scal コミュニテイから強く要望されたにも関わらず groups.google.com/a/chromium.org… Chrome は Token Binding サポート中止を決定 chromestatus.com/feature/509760… 雲行きは怪しいですが、2018 年 10 月初旬に Token Binding 関連の RFC 8471、8472、8473 がリリースされました。 #FAPI & #CIBA 特集 #Authlete

██████████████████████ @motchang

浅い理解だけど Token Binding の方が個人確認に強く根ざしている気がする #authlete