山下寛人オフィシャルブログ

オイシックス株式会社 執行役員 システム本部長 山下寛人の公式ブログです。

OAuth2はURLにアクセストークンを入れるのは非推奨

FacebookAPIはOAuth2準拠と言われていますが

平気でURLにアクセストークンを入れています。

しかしよくよくOAuth2の仕様を調べていくと、

確かに仕様の中には含まれますが非推奨に

なっていることがわかりました。


OAuth2の仕様では現時点(oauth-v2-31)では

アクセストークンの仕様は別になっています。

アクセストークンにはいくつか種類があり、その

種類ごとに別な仕様書があります。


おそらく一番標準的なアクセストークンの種類が

Bearer Tokenです。

Bearer Tokenでは、アクセストークンの送信方法が

3種類規定されています。

Authorizationヘッダ、POSTパラメータ、URIクエリです。

URIクエリが規定されているので使っていいのかと

思いきや、its use is not recommendedとあります。


implicit grant flow(JavaScriptなどで使う方法)も

セキュリティに問題ありそうなことが書いてあるし

FacebookをOAuth2だと思って実装すると落とし穴に

はまりそうです。


こうやれば絶対安心だよ!というシンプルなルールに

なってくれると助かるんですが。