OAuth関連の疑問

このスクラップについて

OAuthに関して自分の理解が不十分な点、そこを理解するために読んだリソースなどを整理するためのものです。

現在の知識レベル

OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する
が書ける程度

疑問リスト（随時更新）

• アクセストークンが満たすべき要件
  • OAuth 2.0 認可コードフロー+PKCE をシーケンス図で理解する を書いたときにコメントいただいた件
  • RFC 6750 を読むといいのかなと思っている
  • あるいは「📕 OAuth 徹底入門」の「4 シンプルなOAuthの保護対象リソースの構築」「8 よく狙われる保護対象リソースの脆弱性」「10 よく狙われるOAuthトークンの脆弱性」をもっかい読む
• 認可サーバー側でパブリッククライアントとコンフィデンシャルクライアントを区別していない場合、なにか問題がある？
• インプリシットフローが非推奨になった理由
  • 教えてもらったリンク: https://tools.ietf.org/html/draft-ietf-oauth-browser-based-apps-03#section-9.8
• PKCE がネイティブアプリだけでなくWebアプリケーションでも推奨されている理由
  • 教えてもらったリンク: Authorization Code Flow with Proof Key for Code Exchange (PKCE)
• いわゆるOAuth"認証"と、それがだめな理由
• OpenID Connectの概要