OAuth 2.1の差分を見守る会 : draft 01-02

ritou です。

本投稿はOAuth 2.1って呼ばれたい感を出してる仕様の差分を見守る会です。

本投稿含め、差分を スクラップ - OAuth 2.1を見守る会 でまとめています。

3月にドラフトが01から02になってたのを放置していたので、その差分からどんな部分が強調されたり説明が追加されたのかなというのを見ていきます。

このやり方、新しい仕様においては最終的にRFCになるものに含まれない内容に触れることもあり、経緯なんてすっ飛ばして出来上がったものをいただく派には無駄に思える作業かもしれません。
しかし、このOAuth2.1ってのはこれまで出された仕様とベストプラクティスを踏まえたものなので、きっと無駄にはならないはず。 早速見ていきましょう。

差分

差分

目次

目次から見える差分としては

• Client Password 改め Client Secret
• Refresh Token の処理のところは Request / Respose に分解

ぐらいです。少ないですね。

2.1 Client Types

Clients are identified at the authorization server by a "client_id". It is, for example, used by the authorization server to determine the set of redirect URIs this client can use.

Clients requiring a higher level of confidence in their identity by the authorization server use credentials to authenticate with the authorization server. Such credentials are either issued by the authorization server or registered by the developer of the client with the authorization server.

と書いてたところが

OAuth 2.1 defines three client types based on their ability to authenticate securely with the authorization server as well as the authorization server's assurance of the client's identity.

になりました。Client Typeについての説明なのでClient ID についての部分はいらないですね。

2.3. Client Authentication

Client Type が "Confidential" だったら Client AuthN が...としか書いてなかった部分が、"Credentialed" も含まれるようになりました。

2.3.1. Client Secret

Clients in possession of a client password, also known as a client secret

から

Clients in possession of a client secret, sometimes known as a client password,

になりました。

2.3.2. Other Authentication Methods

「mTLSや"private_key_jwt"などの」って言う補足がされています。

3.1.1. Response Type

"id_token" を含むものがOIDCで定義されているので、それに対する言及が追記されています。

3.1.2.5. Endpoint Content

redirect_uri の画像やCSSとかに認可コードを含むURLがHTTP Refererとして送られる可能性があるので気をつけなってのが追記されています。

その他

章立てを整理したり文言の順番が入れ替わったりしてますが、そんなに大きな変更はなさそうです。

終わり

今回もそんなに大きな差分ではありませんでした。
またドラフトが更新されたらお会いしましょう。

ではまた！