🕓

OAuth 2.1の差分を見守る会 : draft 03-04

2021/10/06に公開

ritou です。

本投稿はOAuth 2.1って呼ばれたい感を出してる仕様の差分を見守る会です。

本投稿含め、差分を スクラップ - OAuth 2.1を見守る会 でまとめています。

10/5にドラフトが03から04になってたので、その差分からどんな部分が強調されたり説明が追加されたのかなというのを見ていきます。

The OAuth 2.1 Authorization Framework draft-ietf-oauth-v2-1-04

(定型文)このやり方、新しい仕様においては最終的にRFCになるものに含まれない内容に触れることもあり、経緯なんてすっ飛ばして出来上がったものをいただく派には無駄に思える作業かもしれません。
しかし、このOAuth2.1ってのはこれまで出された仕様とベストプラクティスを踏まえたものなので、きっと無駄にはならないはず。 早速見ていきましょう。

差分

差分(ここがこう変わりましたってやつ)
差分(横に並べたやつ)

まずは "Appendix E. Document History" を読みます。

   -04

* Added explicit mention of not sending access tokens in URI query strings
* Clarifications on definition of client types
* Consolidated text around loopback vs localhost
* Editorial clarifications throughout the document

Added explicit mention of not sending access tokens in URI query strings

RFC6750 2. Authenticated Requests - 2.3. URI Query Parameter で定義されている、アクセストークンをクエリパラメータに含める使い方を使うなという説明です。

Financial-grade API Security Profile 1.0 - Part 1: Baseline で言及されているものですね。クエリにつけるとサーバーログに落ちてしまう辺りが考慮されています。

Clarifications on definition of client types

これまでの差分でも説明していた "Confidential" と "Credentialed" の違いの表現と、Clientの登録方法とか動作環境による違いとか色々あるよっていう説明が更新/追記されています。

  • 開発者が登録したサーバーサイドのClient : Confidential
  • Dynamic Registrationで登録されたもの : Credentialed
  • SPAやNative App : Public

Consolidated text around loopback vs localhost

localhostを推奨せず、ループバックアドレスを適切に利用しましょうみたいなことも書いてあります。

RFC8252 の 7.3. Loopback Interface Redirection あたりで説明されているものですね。

Editorial clarifications throughout the document

その他、目立つのは "" で囲まれた用語の "" が外されたみたいなやつがたくさんあります。

ということで、03-04の差分を見てみました。

またドラフトが更新されたらお会いしましょう。

ではまた!


え?文中にいきなりRFC番号を言われてもわからない?そんな時はこれ!!!

OAuth 2.0等のRFC番号が飛び交う会話についていくためのカード [PR] - r-weblife

Discussion