OAuth 2.0OAuth 2.0 Authorization Framework
OAuth 2.0 は、複数のグラントタイプ (認可コード・PKCE・クライアントクレデンシャル等) を持つ認可フレームワークで、RFC 6749 と関連 RFC で構成されます。
詳細解説
OAuth 2.0 は RFC 6749 で定義された認可フレームワークで、用途別に4つのコアグラントタイプ (Authorization Code / Implicit / Resource Owner Password Credentials / Client Credentials) を提供します。現代では Implicit と ROPC は非推奨で、Webアプリ・モバイル・SPA は Authorization Code + PKCE (RFC 7636) が必須化されています。サーバー間連携は Client Credentials が標準です。トークン形式は JWT またはオパーク文字列で、有効期限と refresh_token によるサイレント更新を組み合わせます。OAuth 2.1 (ドラフト) では PKCE 必須・Implicit 削除・ROPC 削除など、現代のベストプラクティスを統合した整理版が進行中です。Token Introspection (RFC 7662) や Token Revocation (RFC 7009) もエコシステムを構成します。
実装例 / 使い方
- 01SPA は Authorization Code + PKCE で client_secret を露出しない
- 02サーバー間 API 連携は Client Credentials Grant
- 03Refresh Token Rotation で漏洩トークンを即無効化
参考・出典
関連する用語
OAuth
Open AuthorizationOAuth は、ユーザーのパスワードを渡さず第三者アプリにリソースアクセス権を委譲するための認可プロトコルです。OAuth 1.0 (RFC 5849) と現行...
OpenID Connect
OIDCOpenID Connect (OIDC) は、OAuth 2.0 を拡張してユーザー認証情報を ID Token (JWT) で標準化した認証プロトコルです。...
JWT
JSON Web TokenJWT (JSON Web Token) は、ヘッダー・ペイロード・署名の3パートをドット区切りで連結したトークン形式で、認証情報を改ざん検知付きで伝達できます...
WebAuthn / Passkey
Web AuthenticationWebAuthn は、公開鍵暗号でフィッシング耐性のある認証を実現するW3C標準で、Passkey はその利用者向け呼称です。パスワードレス認証の主流になりつつ...
OAuth 2.0を、実際に活用する
用語の意味は分かった。次は実装。EXBANK の無料診断で、貴社で具体的にどう活用できるかをご提案します。
営業時間 平日10-18時 / 通常24時間以内に返信