OAuth2

フグ本

• MAC認証について MAC鍵はhmac-sha-1 か hmac-sha256のアルゴリズムで生成されたものでなければいけない 署名が必須なOAuht対応APIへの接続では全てのAPIリクエストのAuthorizationヘッダにMAC署名が含まれていなければいなけない

webの情報

• OAuthプロトコルとは
  
  2つのアプリケーションをマッシュアップさせたい「ユーザ」がリソースを管理するサイト「サービスプロバイダ」が提供する
  APIの接続許可証「トークン」をサービスプロバイダを通じて、リソースを利用したサービスを提供する別のサイト「コンシューマ」
  へ発行し、IDとパスワードの代わりにトークンを渡してサービスプロバイダ上のリソースへアクセスさせる仕組み

• 詳細
  http://www.atmarkit.co.jp/fsecurity/special/106oauth/oauth02.html

• 読んでおいたほうが良さ気
  http://d.hatena.ne.jp/hsksnote/20110807/1312685462
  http://www.atmarkit.co.jp/fsmart/articles/oauth2/01.html
  http://d.hatena.ne.jp/shibason/20090809/1249764381

OAuth 用語系

• 保護リソース
  Accessが制限されたリソース、OAuth認証済みリクエストを利用して取得可能

• リソースサーバ
  保護リソースに対するリクエスト受け付け、レスポンスを返すサーバー

• クライアント
  認可を取得し、保護リソースにたいするリクエストを行うアプリケーション

• エンドユーザ
  リソースオーナー

• トークン
  クライントに対し発行されたアクセス許可を表す文字列。
  
  通常はクライアンにとって不透明な値、トークンは特定の範囲とアクセス期間を表し、それらはリソースオーナによって許可されリソースサーバーと認可サーバーによって強制される。トークンは認可情報を取り出すための識別子を意味してもいい。またはそれ自身に検証可能な方法で認可情報を含んでもいい(データと署名を含むトークンなど)トークンはpure capabilitiesでもいい。クライアントがトークンを利用するために特別に追加の認証クレデンシャルを要求してもいい

• アクセストークン
  クライアントがリソースをー何変わって認証済みリクエストを行うために使われるトークン

• リフレシュトークン
  クライアントがリソースオーナーの関与なく新しいアクセストークンを得るために使われるトークン

• 認可コード
  生存期間の短いトークン、エンドユーザによって提供されたアクセス許可を表す。

• 認可サーバ
  リソースオーナーの認証とリソースオーナーからの認可取得が成功したあと、トークンを発行するサーバー、認可サーバーとリソースサーバーは同じサーバでもいい

• エンドユーザー認可エンドポイント
  認可サーバーのHTTPエンドポイントで、エンドユーザの認証と認可の取得を行う。

• トークンエンドポイント
  認可サーバーのHTTPエンドポイントで、トークンの発行と期限切れのトークンリフレッシュを行う。

• クライアント識別子
  認可サーバーがクライアント自身を識別するために発行される一意な識別子。

概要

リソースオーナーの代わりに保護リソースにアクセスする方法を提供する。
クライアントは初めに、リソースオーナーの認可を取得し、アクセスと訓を交換する
クライアントはサーバーにトークンを渡すことでアクセスが可能となる。