RFC 8252 - ネイティブアプリのための OAuth 2.0
Internet Engineering Task Force (IETF)
Request for Comments: 8252
BCP: 212
Updates: 6749
Category: Best Current Practice
ISSN: 2070-1721
著者:
W. Denniss (Google)
J. Bradley (Ping Identity)
発行日: 2017年10月
概要
ネイティブアプリからの OAuth 2.0 認可リクエストは、外部ユーザーエージェント、主にユーザーのブラウザを介してのみ行うべきです。この仕様は、このようにすべきセキュリティと使いやすさの理由を詳述し、ネイティブアプリと認可サーバーがこのベストプラクティスを実装する方法を説明します。
このメモのステータス
このメモはインターネットのベストカレントプラクティスを文書化しています。
この文書は Internet Engineering Task Force (IETF) の成果物です。これは IETF コミュニティの合意を表しています。公開レビューを受けており、Internet Engineering Steering Group (IESG) によって発行が承認されています。
目次
- 1. はじめに
- 2. 表記規則
- 3. 用語
- 4. 概要
- 4.1. ブラウザを使用するネイティブアプリの認可フロー
- 5. OAuth のためのアプリ間 URI 通信の使用
- 6. ネイティブアプリからの認可リクエストの開始
- 7. ネイティブアプリでの認可レスポンスの受信
- 7.1. プライベート使用 URI スキームリダイレクション
- 7.2. 請求された "https" スキーム URI リダイレクション
- 7.3. ループバックインターフェースリダイレクション
- 8. セキュリティに関する考慮事項
- 8.1. 認可コードの保護
- 8.2. OAuth インプリシットグラント認可フロー
- 8.3. ループバックリダイレクトに関する考慮事項
- 8.4. ネイティブアプリクライアントの登録
- 8.5. クライアント認証
- 8.6. クライアントなりすまし
- 8.7. 偽の外部ユーザーエージェント
- 8.8. 悪意のある外部ユーザーエージェント
- 8.9. クロスアプリリクエストフォージェリ保護
- 8.10. 認可サーバー混同の軽減
- 8.11. 非ブラウザ外部ユーザーエージェント
- 8.12. 埋め込みユーザーエージェント
- 9. IANA に関する考慮事項
- 10. 参考文献
- 10.1. 規範的参考文献
- 10.2. 参考情報
付録
- 付録 A. サーバーサポートチェックリスト
- 付録 B. プラットフォーム固有の実装詳細
- B.1. iOS 実装詳細
- B.2. Android 実装詳細
- B.3. Windows 実装詳細
- B.4. macOS 実装詳細
- B.5. Linux 実装詳細
- 謝辞
- 著者の連絡先
関連リソース
- 公式 RFC: RFC 8252
- DataTracker: RFC 8252 DataTracker
- 正誤表: RFC Editor Errata