-
- いいね!9
A.Wada
@senryoAIIT
OAuth PKCEがRFC7636として発行されました。 sakimura.org/2015/09/3206/ #nextwebconf #nextwebconf407
2015-10-18 14:59:38
A.Wada
@senryoAIIT
クライアントからサーバに2回リクエストを出す。割符を2回に分けて渡してクライアントが同一かどうかを見る。 #nextwebconf #nextwebconf407
2015-10-18 15:01:43
mitsuruog
@mitsuruog
RFC7636の経緯。ネイティブアプリのカスタムスキームをCallbackにした場合、複数のアプリで同じスキームを参照できるので、罠アプリが立ち上がった場合、アクセストークンを交換できる #nextwebconf #nextwebconf407
2015-10-18 15:03:39
Naoki Shimizu
@deme0607
authorisation requestにcode challenge(secretのhash)をつけて送る。tokenエンドポイントにsecretを送ることでauthorisation serverで付きあわせが可能 #nextwebconf #nextwebconf407
2015-10-18 15:03:57
Naoki Shimizu
@deme0607
したがってpublic clientのcallback時のカスタムURIが乗っ取られていても、トークンは取られない。 #nextwebconf #nextwebconf407
2015-10-18 15:05:01
Naoki Shimizu
@deme0607
理解が合ってるかわからないので、あとでちゃんとRFC読もう… #nextwebconf #nextwebconf407
2015-10-18 15:05:43
ヤスヒサ 🗑
@yhassy
Proof Key for Code Exchange by OAuth Public Clients #nextwebconf407 tools.ietf.org/html/draft-iet…
2015-10-18 15:05:53
ちゃちゃき
@chachaki
Bearer Tokenとproof of possession tokenの違いの解説。JRの切符と飛行機の切符の違い。 #nextwebconf407
2015-10-18 15:08:22
Noboru Kurumai
@kurumai
PDF版を見るとフローが見えやすい Proof Key for Code Exchange by OAuth Public Clients tools.ietf.org/pdf/draft-ietf… #nextwebconf407
2015-10-18 15:08:39
A.Wada
@senryoAIIT
べアラートークン マクドナルドコーヒー無料券みたいなもの。持ってきた人、誰でも貰える。JRのその辺の切符。 プルーフオブボジショントークン 飛行機の搭乗券、身分を証明するものが内包されていて、別途、証明するもの(旅券等)と一致しないと乗れない。 #nextwebconf407
2015-10-18 15:08:47
mitsuruog
@mitsuruog
なるほどー。bearer tokenとproof-of-possession tokensの違い、JR切符と飛行機のチケットの比較わかりやすい #nextwebconf #nextwebconf407
2015-10-18 15:09:45