RFC 6750 - OAuth 2.0認可フレームワーク: ベアラートークン使用

発行日: 2012年10月
ステータス: 標準化過程 (Standards Track)
著者: M. Jones (Microsoft), D. Hardt (Independent)

---

概要 (Abstract)

本仕様は、HTTPリクエストにおいてベアラートークン (Bearer Token) を使用してOAuth 2.0で保護されたリソースにアクセスする方法を説明します。ベアラートークンを所有する当事者(「ベアラー」)は、暗号鍵の所有を証明することなく、関連するリソースへのアクセス権を取得できます。誤用を防ぐため、ベアラートークンは保管時および転送時に開示から保護される必要があります。

---

目次 (Table of Contents)

• 1. Introduction (はじめに)
  • 1.1 Notational Conventions (表記規則)
  • 1.2 Terminology (用語)
  • 1.3 Overview (概要)
• 2. Authenticated Requests (認証済みリクエスト)
  • 2.1 Authorization Request Header Field (Authorization リクエストヘッダーフィールド)
  • 2.2 Form-Encoded Body Parameter (フォームエンコードされたボディパラメータ)
  • 2.3 URI Query Parameter (URIクエリパラメータ)
• 3. The WWW-Authenticate Response Header Field (WWW-Authenticateレスポンスヘッダーフィールド)
  • 3.1 Error Codes (エラーコード)
• 4. Example Access Token Response (アクセストークンレスポンスの例)
• 5. Security Considerations (セキュリティに関する考慮事項)
  • 5.1 Security Threats (セキュリティ脅威)
  • 5.2 Threat Mitigation (脅威の軽減)
  • 5.3 Summary of Recommendations (推奨事項のまとめ)
• 6. IANA Considerations (IANAに関する考慮事項)
  • 6.1 OAuth Access Token Type Registration
  • 6.2 OAuth Extensions Error Registration
• 7. References (参考文献)
  • 7.1 Normative References (規範的参考文献)
  • 7.2 Informative References (参考情報)

付録 (Appendices)

• Appendix A. Acknowledgements (謝辞)

---

関連リソース

• 公式原文: RFC 6750 (TXT)
• 公式ページ: RFC 6750 DataTracker
• 関連文書: RFC 6749 - OAuth 2.0認可フレームワーク
• 正誤表: RFC Editor Errata

---

クイックリファレンス

ベアラートークンとは？

ベアラートークン (Bearer Token) は、トークンを所有する当事者(「ベアラー」)がそれを使用してリソースにアクセスできるというセキュリティトークンです。他のタイプのトークンとは異なり、ベアラートークンの使用には暗号鍵の所有証明が必要ありません。

ベアラートークンを使用する3つの方法

1. Authorizationリクエストヘッダー (推奨) - Authorization: Bearer <token>
2. フォームエンコードされたボディパラメータ - POSTリクエストボディのaccess_tokenパラメータ
3. URIクエリパラメータ (非推奨) - URLの?access_token=<token>

なぜ保護が必要か？

ベアラートークンを持つ者は誰でも使用できるため、必須である (しなければならない):

• ✅ HTTPSを使用して転送する
• ✅ 適切な有効期限を設定する
• ✅ URLでトークンを渡すことを避ける（ログに記録される）
• ✅ トークンを安全に保管する

---

重要: 本RFCはRFC 6749 (OAuth 2.0)の補完文書であり、OAuth 2.0によって発行されたアクセストークンの使用方法を定義しています。