OAuth2 Dynamic Client Registrationについて
nativeアプリのclient_secretを守れない、という話から、dynamic registration活用について考えています
-
- いいね!0
Kaoru Maeda 前田 薫
@mad_p
OAuth2 Dynamic Client Registrationドラフト11読んでる。nativeアプリの登録をprotectedにすると、結局initialトークンの秘匿性が問題になる。openにするしかないか http://t.co/mIhAuWGyy3
2013-05-28 10:00:19
nov matake
@nov
@mad_p その辺はBlueButton+のドキュメントにもうちょっと細かく分類されてるので、そちらも参考にすると良いかもです。
2013-05-28 10:05:06
Kaoru Maeda 前田 薫
@mad_p
#idcon で話題になってた医療情報統合システム。クライアント登録とディスカバリーの仕組みが勉強になる / “BlueButton+ Pull API, Dynamic Registration and Push Authori…” http://t.co/eCQvfRTcsk
2013-05-28 10:14:15
Kaoru Maeda 前田 薫
@mad_p
登録だけはWeb経由でプロキシしてやる、というのが割といいセンか? でも、登録プロキシに接続してきたnativeが本物かという検査が必要になって、問題の場所が変わるだけ。オープンでいいじゃんと開き直るのがシンプルでよい。公式アプリに特権与えようとか考えなければ平和なんだなw
2013-05-28 10:05:42
nov matake
@nov
@mad_p 特権は諦めた方が良いかと思いますね。native appにclient_secret与えるのは、あくまでrefresh token渡したいから、というのが良いのかなと。それすらいらないなら、基本openでいいかなぁと思います。
2013-05-28 10:09:34