山下寛人オフィシャルブログ

オイシックス株式会社 執行役員 システム本部長 山下寛人の公式ブログです。

OAuth2.0

OAuth2.0に従って認証すれば問題ないだろうと

思っていましたが、よく調べてみるとまだまだ

そうとも言えないようです。

まだ仕様は策定中です。


先日読んだ日本語訳はv10で最新はv31になっています。

基本線はそんなに変わりはないものの結構変わっています。

例えば、先日のリフレッシュトークンのところで、

アクセストークンはSSL(TSL)必須でないとありましたが

そのときはdraft v11のときで、v10を見ると確かに

TSLはSHOULDとなっていてMUSTになっていません。

しかしv31ではTSLがMUSTと書かれています。

そういう根本的なところがまだ変わっているようです。


ネイティブクライアント(スマホアプリのような)からの

アクセスもまだ概要しかありません。

JavaScriptやネイティブクライアントについては

アクセストークンが漏えいしやすい、と書かれて

いるものの、どうやって防止するかは決められて

いません。

サーバー間通信のフローについてはだいたい

固まっているようなので、今回はスマホアプリから

直でAPIに行かずにAPIクライアントのWebサーバーを

経由してAPIにアクセスしてもらおうと思います。


しかしセキュリティを考えると切りがありませんね。

そんなこと言ったらブラウザでSSLで通信していても

他のアプリがクッキーやらパスワードやら盗めるから

ブラウザでログインすること自体危険に思えて

きます。

実際、そこまでは考えすぎだと思いますが。