- yousukezan
- 2637
- 11
- 1
- 0
#authlete なんやかんやリダイレクトがあったけど、decouplez flowはユーザが自分の所持しない端末で、自分のリソースを利用しようとするサービスを操作する場合のフロー?
2019-01-16 20:07:57旧来の認可コードフローやインプリシットフローは『Redirect フロー』に分類されます。一方 CIBA は『Decoupled フロー』に分類されます。旧来の方法と CIBA のフローの違いは、こちらの記事で解説しています。 qiita.com/TakahikoKawasa… #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:12:21@hommah01 クライアントが認可サーバーのバックチャネル認可エンドポイントにリクエストを投げる際、login_hint_token、id_token_hint、login_hintパラメーターのどれか一つをヒントとしてサーバーに渡します。サーバーはそのヒントを元に認証対象ユーザーを特定します。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:17:31#authlete consumption device(CD)からの操作が起点でRPからASⅡいき、認証をAuthentication Device(AD)でやり、AzからrpにI'd token(認証結果)をpoll/pushするなりして渡す
2019-01-16 20:13:34@kazuki229_dev どのタイミングでのフィッシングのお話か分かりかねますが、参考までに、認証デバイスに飛んできた認証要求が正当なものかどうかを確認するための手段として、バックチャネル認証リクエストには binding_message や user_code というパラメーターが用意されています。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:23:07@hommah01 仕様に「binding_message value SHOULD be relatively short and use a limited set of plain text characters.」とあり、Binding Message はかなり短い単純な文字列であることが想定されていて、そのまま認証デバイス上に表示しても問題にならないとみなされています。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:28:01@darutk 補足ありがとうございます。仕様上はそうなっているんですね。どういったclientの登録なのか次第かもですが、AD側から見ると期待しない(不適切な)文字列がAD上に表示されることならないかと気になった次第です。
2019-01-16 20:36:53@hommah01 クライアントから送られてきた binding message が不適切である場合、認可サーバーは invalid_binding_message というエラーを返します。認証デバイスに認証要求を送る前に、認可サーバーの判断でフローを止めることができます。 bitbucket.org/openid/mobile/… #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:43:54@hommah01 補助金ではなく、逆に、「市場独占しているから罰金だ」と言いがかりをつけて銀行からお金を徴収し、それを元手に Open Banking を作った、という感じです。Open Banking の旗振り役は CMA(競争と市場庁)で、日本の公正取引委員会に相当する組織です。 #FAPI & #CIBA 特集 #Authlete
2019-01-16 20:33:04