🕖

OAuth 2.1の差分を見守る会 : draft 06-07

2022/12/06に公開

ritou です。

Digital Identity技術勉強会 #iddance Advent Calendar 2022 6日目の記事です。

https://qiita.com/advent-calendar/2022/iddance

本投稿はOAuth 2.1って呼ばれたい感を出してる仕様の差分を見守る会です。

本投稿含め、差分を スクラップ - OAuth 2.1を見守る会 でまとめています。

2022/10/24にドラフトが06から07になってたので、その差分からどんな部分が強調されたり説明が追加されたのかなというのを見ていきます。

差分URL : https://www.ietf.org/rfcdiff?url2=draft-ietf-oauth-v2-1-07.txt

   -07
   *  Removed "third party" from abstract
   *  Added MFA and passwordless as additional motiviations in
      introduction
   *  Mention PAR as one way redirect URI registration can happen
   *  Added a reference to requiring CORS headers on the token endpoint
   *  Updated reference to OMAP extension
   *  Fixed numbering in sequence diagram

"MFA and passwordless as additional motiviations", "PAR", "CORS" などいくつか気になるキーワードもありますね。

上から見ていきましょう。

Removed "third party" from abstract

これまでOAuthと言えば3rd Partyのアプリケーションにアクセス権限を与えるための仕組み!という感じでしたが、もはや3rd Partyのものだけとも言えないですね。

Added MFA and passwordless as additional motiviations in introduction

OAuthではAuthorization ServerだけがResource OwnerのCredentialを扱い、Clientはそれを意識する必要がありません。
(ちなみに、OAuth 2.0 Step-up Authentication Challenge ProtocolではAuthorization Server と Resource Serverのユーザー認証の話があります)
認証機能がAuthorization Serverだけにあるということで、Client側と細けぇ調整をせずに他要素認証なりパスワードレスを導入するような変更ができますよ、みたいなことが追記されています。

Mention PAR as one way redirect URI registration can happen

redirect_uri の登録について、PARでの最初のPOSTで行われる可能性にも言及されています。
PARは事前に認可リクエストの内容をサーバー間通信で送りつけ、そこで払い出されたURLにリダイレクトするという拡張仕様です。
PARのリクエストでは送信元を検証可能なわけなので、そこで送られたredirect_uriも有効なものとして登録して良いということなんでしょうね。
PARの仕様自体にはこれに触れられていないと思うのでちょっと新鮮です。

Added a reference to requiring CORS headers on the token endpoint

ブラウザベースのアプリケーションからトークンエンドポイントにアクセスがくる場合、適切なCORSヘッダーをサポートしないといけませんよというのが書かれています。

Updated reference to OMAP extension

これは、はい

Fixed numbering in sequence diagram

前回の見直しでナンバリングが(A)-(E)に変わりましたが、説明は(1)-(5)だったので戻りました的な。

まとめ

今回の注目すべき点はこんなところでしょう。

  • OAuth は "third-party" なアプリケーションとの連携のためのもの ではない
  • Resource Ownerのユーザー認証についてAuthorization Serverだけが意識するのでMFAやパスワードレスとかも導入できる
  • redirect_uri を PAR の最初のリクエストで登録してもいい

まだまだ目が離せませんね。次回更新にも期待しましょう。

iddanceのアドカレですが、まだ空いてる日があるので気軽にご参加ください。

https://qiita.com/advent-calendar/2022/iddance

ではまた!

Discussion