-
Notifications
You must be signed in to change notification settings - Fork 4
/
403.txt
56 lines (41 loc) · 3.64 KB
/
403.txt
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
[2] [DFN[[RUBYB[認可鯖]@en[authorization server]]]]は、
[[資源所有者]]の[[認証]]に成功し[[認可]]を得た後に[[クライアント]]に[[アクセストークン]]を発行する[[鯖]]です [SRC[>>1]]。
* 仕様書
[REFS[
- [1] [CITE@en[RFC 6749 - The OAuth 2.0 Authorization Framework]] ([TIME[2014-12-15 14:15:35 +09:00]] 版) <http://tools.ietf.org/html/rfc6749#section-1.1>
- [4] [CITE@en[RFC 6749 - The OAuth 2.0 Authorization Framework]] ([TIME[2014-12-15 14:15:35 +09:00]] 版) <http://tools.ietf.org/html/rfc6749#section-3>
- [5] [CITE@en[RFC 7009 - OAuth 2.0 Token Revocation]] ([TIME[2014-12-21 18:10:21 +09:00]] 版) <http://tools.ietf.org/html/rfc7009>
]REFS]
* エンドポイント
[3] [[認可鯖]]は、次の[[エンドポイント]]を持つことができます。
[FIG(short list)[
- [[認可エンドポイント]] [SRC[>>4]]
- [[トークンエンドポイント]] [SRC[>>4]]
- [[revokeエンドポイント]] [SRC[>>5]]
]FIG]
[7] [[認可鯖]]は[[クライアント]]となるもの (開発者) に対して[[クライアント登録]]の
[[Webページ]]を提供することが期待されています。
[8] [[認可鯖]]は[[資源所有者]]に対して、当該[[資源所有者]]に関する[[アクセストークン]]や[[更新トークン]] (が発行された[[クライアント]]) やその[[適用範囲]]の一覧を表示したり、
[[revoke]] したりする [[Webページ]]を提供することが期待されています。
[9] [[認可鯖]] (または[[認可鯖]]と協調して動作する他の[[鯖]]) は、
これら [[OAuth]] の機能とは別に、[[資源所有者]]の資格を得たり、
[[認証]]して[[ログイン]]状態を得たりする一連の [[Webページ]]群
(= 当該 [[Webアプリケーション]]における[[アカウント]]の登録や[[ログイン]]のフォームと[[エンドポイント]]) を持っているのが普通です。
[10] [[認可鯖]]は、[[資源所有者]]に対して[[認可承諾]]について[[電子メール]]その他の手段で通知するのが好ましいかもしれません。
[EG[
[12] 例えば重大な操作を行える[[適用範囲]]を持つ[[アクセストークン]]が発行された時、
[[認可鯖]]はその旨を[[資源所有者]]に報告したいかもしれません。
]EG]
[EG[
[11] 例えば[[資源所有者合言葉credentials]]は[[資源所有者]]が一旦[[合言葉]]を[[クライアント]]に渡してしまうと以後何が行われているか[[資源所有者]]が一切知ることができないため、
[[認可鯖]]は処理を[[資源所有者]]に報告したいかもしれません。
]EG]
[13] [[認可鯖]]は、自身が発行した[[アクセストークン]]を通して[[資源鯖]]において行われた操作を[[資源所有者]]に説明する[[Webページ]]を提供することがあります。
詳細な利用状況を記録している場合もあれば、最終利用時刻を示す程度の場合もあります。
[14] [[認可鯖]]は、[[OAuth]] 以外の方法で [[OAuth]] で得られる[[アクセストークン]]を[[資源所有者]]に提供するかもしれません。
[EG[
[15] 例えばいくつかの[[Webアプリケーション]]は、[[クライアント]]開発者でもある[[資源所有者]]の便宜を図るため、[[資源所有者]]のアカウント管理ページから[[アクセストークン]]を発行する機能を提供しています。
]EG]
* 歴史
[6] [[OAuth 1.0]] では[[認可鯖]]と[[資源鯖]]に相当するものがまとめて[[鯖]]
([[サービス提供者]]) と呼ばれていました。