RFC 8252 - ネイティブアプリのための OAuth 2.0

• ステータス: Best Current Practice
• 発行日: October 2017
• ストリーム: IETF
• 更新: RFC6749
• エラッタ: エラッタなし

---

概要

ネイティブアプリからの OAuth 2.0 認可リクエストは、外部ユーザーエージェント、主にユーザーのブラウザを介してのみ行うべきです。この仕様は、このようにすべきセキュリティと使いやすさの理由を詳述し、ネイティブアプリと認可サーバーがこのベストプラクティスを実装する方法を説明します。

---

このメモのステータス

このメモはインターネットのベストカレントプラクティスを文書化しています。

この文書は Internet Engineering Task Force (IETF) の成果物です。これは IETF コミュニティの合意を表しています。公開レビューを受けており、Internet Engineering Steering Group (IESG) によって発行が承認されています。

---

目次

• 1. はじめに
• 2. 表記規則
• 3. 用語
• 4. 概要
  • 4.1. ブラウザを使用するネイティブアプリの認可フロー
• 5. OAuth のためのアプリ間 URI 通信の使用
• 6. ネイティブアプリからの認可リクエストの開始
• 7. ネイティブアプリでの認可レスポンスの受信
  • 7.1. プライベート使用 URI スキームリダイレクション
  • 7.2. 請求された "https" スキーム URI リダイレクション
  • 7.3. ループバックインターフェースリダイレクション
• 8. セキュリティに関する考慮事項
  • 8.1. 認可コードの保護
  • 8.2. OAuth インプリシットグラント認可フロー
  • 8.3. ループバックリダイレクトに関する考慮事項
  • 8.4. ネイティブアプリクライアントの登録
  • 8.5. クライアント認証
  • 8.6. クライアントなりすまし
  • 8.7. 偽の外部ユーザーエージェント
  • 8.8. 悪意のある外部ユーザーエージェント
  • 8.9. クロスアプリリクエストフォージェリ保護
  • 8.10. 認可サーバー混同の軽減
  • 8.11. 非ブラウザ外部ユーザーエージェント
  • 8.12. 埋め込みユーザーエージェント
• 9. IANA に関する考慮事項
• 10. 参考文献
  • 10.1. 規範的参考文献
  • 10.2. 参考情報

付録

• 付録 A. サーバーサポートチェックリスト
• 付録 B. プラットフォーム固有の実装詳細
  • B.1. iOS 実装詳細
  • B.2. Android 実装詳細
  • B.3. Windows 実装詳細
  • B.4. macOS 実装詳細
  • B.5. Linux 実装詳細
• 謝辞
• 著者の連絡先

---

関連リソース

• 公式 RFC: RFC 8252
• DataTracker: RFC 8252 DataTracker
• 正誤表: RFC Editor Errata

---