- yousukezan
- 2627
- 11
- 1
- 0
リダイレクトURIにはhttps以外のスキームを使えないということは、in-app browser tabは利用できないのか #authlete
2019-01-16 19:22:28@kazuki229_dev FAPI 第二版により、リダイレクト URI のスキームに https しか使えなくなりました。外部 Web サーバーを立てずにクライアント側だけでリダイレクト処理を完結させたい場合、BCP 212 の「7.2. Claimed "https" Scheme URI Redirection」を使う必要があります。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:27:22FAPI に準拠する API は、x-fapi-interaction-id HTTP ヘッダーを応答に含める。その値は、リクエストに x-fapi-interaction-id HTTP ヘッダーが含まれていればその値と同じ値を、そうでなければ UUID をサーバー側で生成して用いる。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:41:25@ken5scal x-fapi-interaction-id は、クライアント側のログとサーバー側のログの付き合わせを容易にするために導入された仕組みです。FAPI Part 1: 6.2.1. Protected resources provisions, 12. には、x-fapi-interaction-id の値をログに残さなければならないと書いています。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:45:30FAPI Part 2 では Detached Signature として ID トークンを用いるので、本来の用途で使わないとしても ID トークンを要求しなければならない。ただし、JARM を使う場合(response_mode に *.jwt を指定した場合)、この限りではない。 JARM openid.net/specs/openid-f… #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:48:00JARM については、『OAuth 2.0 の認可レスポンスとリダイレクトに関する説明』という記事の『JWT Secured Authorization Response Mode』にも解説があります。ちなみに Authlete 2.1 は JARM 実装済みです。 qiita.com/TakahikoKawasa… #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:54:29#Authlete token binding, chromiumが外す宣言してやいのやいのあったけど、結局どうなったんだろう
2019-01-16 19:56:29FAPI Part 2 では、クライアント認証は MTLS(tls_client_auth or self_signed_tls_client_auth)もしくは private_key_jwt のみ。client_secret_jwt は使えない。Basic 認証(client_secret_basic)が使えないのは Part 1 と同様。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 19:56:53PII(personally identifiable information) 個人を特定できる情報 #authlete
2019-01-16 19:57:15@ken5scal コミュニテイから強く要望されたにも関わらず groups.google.com/a/chromium.org… Chrome は Token Binding サポート中止を決定 chromestatus.com/feature/509760… 雲行きは怪しいですが、2018 年 10 月初旬に Token Binding 関連の RFC 8471、8472、8473 がリリースされました。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:03:30浅い理解だけど Token Binding の方が個人確認に強く根ざしている気がする #authlete
2019-01-16 20:03:55