向けに策定中のプロファイル 送信者(sender), 受信者(receiver), メッセージ(message) の認証 送信者認証 受信者認証 メッセージ認証 認可要求 Request Object Request Object Request Object 認可応答 Hybrid Flow Hybrid Flow Hybrid Flow トークン要求 GOOD GOOD GOOD トークン応答 GOOD GOOD GOOD
を設定)することが、認可サーバ Mix-up 攻撃などを回避するのに重要 1クライアント1サーバの前提 UA C 1 O C 1 R C 2 O C 2 R A 1 Z A 2 Z 1クライアント1認可サーバ UA C 1 O C 1 R C 2 O A 1 Z A 2 Z 1クライアント N 認可サーバ 違う認可サーバからの 応答を1つの redirection uri で受け 取る、とか
や state も汚染チェックせずに使われることが多い メッセージ認証の問題 UA C 1 O C 1 R A 1 Z メッセージ認証されていない (response_type, client_id, redirect_uri, scope, state) メッセージ認証されていない (code, state) TLS 終端
Protocol + Version Identifier ③ Fill list of Actors/Roles 認可要求 response type* client id* redirect uri scope state Unique redirect URI & Client ID 要求署名 ① + UA 識別子としての state あるいは TBID 認可応答 code* state* other ext params Unique redirect URI 応答署名 ① + Client ID + UA 識別子 としての state あるいは TBID トークン要求 grant type* code* redirect uri* client* credential / client id* Unique redirect URI & Client ID OK (OAuth 3.0 が存在し ないかぎり) ① + UA 識別子としての state あるいは TBID トークン応答 access token* token_type* expires_in refresh_token others Unique redirect URI 同上 ① + Client ID + UA 識別子 としての state あるいは TBID