RFC 8252 - OAuth 2.0 für Native Apps

• Status: Best Current Practice
• Veröffentlicht: October 2017
• Stream: IETF
• Aktualisiert: RFC6749
• Errata: Keine Errata

---

Zusammenfassung

OAuth 2.0-Autorisierungsanfragen von nativen Apps sollten nur über externe User-Agents, hauptsächlich den Browser des Benutzers, durchgeführt werden. Diese Spezifikation erläutert die Sicherheits- und Usability-Gründe für diese Vorgehensweise und wie native Apps und Autorisierungsserver diese Best Practice implementieren können.

---

Status dieses Memorandums

Dieses Memorandum dokumentiert eine Internet Best Current Practice.

Dieses Dokument ist ein Produkt der Internet Engineering Task Force (IETF). Es repräsentiert den Konsens der IETF-Community. Es wurde öffentlich begutachtet und von der Internet Engineering Steering Group (IESG) zur Veröffentlichung freigegeben.

---

Inhaltsverzeichnis

• 1. Einleitung
• 2. Notationskonventionen
• 3. Terminologie
• 4. Überblick
  • 4.1. Autorisierungsablauf für Native Apps unter Verwendung des Browsers
• 5. Verwendung der Inter-App-URI-Kommunikation für OAuth
• 6. Initiierung der Autorisierungsanfrage von einer Native App
• 7. Empfang der Autorisierungsantwort in einer Native App
  • 7.1. Private-Use-URI-Schema-Umleitung
  • 7.2. Beanspruchte "https"-Schema-URI-Umleitung
  • 7.3. Loopback-Schnittstellen-Umleitung
• 8. Sicherheitsüberlegungen
  • 8.1. Schutz des Autorisierungscodes
  • 8.2. OAuth Implicit Grant-Autorisierungsablauf
  • 8.3. Überlegungen zur Loopback-Umleitung
  • 8.4. Registrierung von Native-App-Clients
  • 8.5. Client-Authentifizierung
  • 8.6. Client-Identitätsdiebstahl
  • 8.7. Gefälschte externe User-Agents
  • 8.8. Bösartige externe User-Agents
  • 8.9. Schutz vor Cross-App Request Forgery
  • 8.10. Autorisierungsserver-Mix-Up-Abwehr
  • 8.11. Nicht-Browser-externe User-Agents
  • 8.12. Eingebettete User-Agents
• 9. IANA-Überlegungen
• 10. Referenzen
  • 10.1. Normative Referenzen
  • 10.2. Informative Referenzen

Anhänge

• Anhang A. Server-Support-Checkliste
• Anhang B. Plattformspezifische Implementierungsdetails
  • B.1. iOS-Implementierungsdetails
  • B.2. Android-Implementierungsdetails
  • B.3. Windows-Implementierungsdetails
  • B.4. macOS-Implementierungsdetails
  • B.5. Linux-Implementierungsdetails
• Danksagungen
• Adressen der Autoren

---

Verwandte Ressourcen

• Offizielles RFC: RFC 8252
• DataTracker: RFC 8252 DataTracker
• Errata: RFC Editor Errata

---