OAuth PKCEがRFC7636として発行されました。 sakimura.org/2015/09/3206/ #nextwebconf #nextwebconf407
2015-10-18 14:59:38クライアントからサーバに2回リクエストを出す。割符を2回に分けて渡してクライアントが同一かどうかを見る。 #nextwebconf #nextwebconf407
2015-10-18 15:01:43RFC7636の経緯。ネイティブアプリのカスタムスキームをCallbackにした場合、複数のアプリで同じスキームを参照できるので、罠アプリが立ち上がった場合、アクセストークンを交換できる #nextwebconf #nextwebconf407
2015-10-18 15:03:39authorisation requestにcode challenge(secretのhash)をつけて送る。tokenエンドポイントにsecretを送ることでauthorisation serverで付きあわせが可能 #nextwebconf #nextwebconf407
2015-10-18 15:03:57したがってpublic clientのcallback時のカスタムURIが乗っ取られていても、トークンは取られない。 #nextwebconf #nextwebconf407
2015-10-18 15:05:01理解が合ってるかわからないので、あとでちゃんとRFC読もう… #nextwebconf #nextwebconf407
2015-10-18 15:05:43Proof Key for Code Exchange by OAuth Public Clients #nextwebconf407 tools.ietf.org/html/draft-iet…
2015-10-18 15:05:53Bearer Tokenとproof of possession tokenの違いの解説。JRの切符と飛行機の切符の違い。 #nextwebconf407
2015-10-18 15:08:22PDF版を見るとフローが見えやすい Proof Key for Code Exchange by OAuth Public Clients tools.ietf.org/pdf/draft-ietf… #nextwebconf407
2015-10-18 15:08:39べアラートークン マクドナルドコーヒー無料券みたいなもの。持ってきた人、誰でも貰える。JRのその辺の切符。 プルーフオブボジショントークン 飛行機の搭乗券、身分を証明するものが内包されていて、別途、証明するもの(旅券等)と一致しないと乗れない。 #nextwebconf407
2015-10-18 15:08:47なるほどー。bearer tokenとproof-of-possession tokensの違い、JR切符と飛行機のチケットの比較わかりやすい #nextwebconf #nextwebconf407
2015-10-18 15:09:45