Open21
oidc
Hiromu Kariyaoauth
Hiromu Kariya認可サーバー→事前に申請してクライアントid、クライアントシークレットを発行。アプリはそれを持っておく
Hiromu Kariyaユーザーが連携要求→クライアントidをつけて認可サーバーにリダイレクト
ユーザーは認可サーバーでid/passなど入力して承認
アプリに認可コードが届く
認可コードとユーザーを紐づける??←これは違う
Hiromu Kariya認可コードを認可サーバーに渡してアクセストークンをもらう
アクセストークンでリソースサーバーにアクセスして必要なものをもらう
Hiromu Kariyaここからoidc
認可コードを認可サーバーに渡すと、アクセストークン&リフレッシュトークンに加え、idトークンがもらえる。厳密にはパターンによって違い、idトークンは絶対もらえる。
jwt形式になっていて、この中にユニークなidが入っている。
Hiromu Kariyaディスカバリーエンドポイント、連携初めにプロバイダから情報もらうやつ
Hiromu Kariyajwk setアンドポイント、idトークン検証のための公開鍵がわかる
Hiromu Kariyaユーザーidなどはstateパラメーターにjsonをbase64エンコードして追加する感じ
これで後から連携ができる
Hiromu Kariya連携解除はrevokeエンドポイントにアクセストークンを渡す
Hiromu Kariya認可トークンで、idトークン、アクセストークン、リフレッシュトークンをもらう?
idトークンはjwt形式で、デコードしたsubがプロバイダのユーザーid
まあ、あんまり使わなそうで
アクセス、リフレッシュトークンだけアプリで保持する感じかなあ
Hiromu Kariya古いoauth。アクセストークンを抜かれる可能性があるのでキケン
Hiromu Kariyaoauth2.0 認可だけしかしない
oidc auth2.0の拡張で、認証もする
Hiromu Kariya認可サーバーからもらうトークンなどの検証について