OAuth 2.0 全フローの図解と動画

63
いいね
0
コメント

2017年04月28日に投稿

RFC 6749 (The OAuth 2.0 Authorization Framework) で定義されている 4 つの認可フロー、および、リフレッシュトークンを用いてアクセストークンの再発行を受けるフローの図解及び動画です。動画は YouTube へのリンクとなっています。

認可コードフロー

RFC 6749, 4.1. Authorization Code Grant で定義されているフローです。認可エンドポイントに認可リクエストを投げ、応答として短命の認可コードを受けとり、その認可コードをトークンエンドポイントでアクセストークンと交換するフローです。

動画： OAuth 2.0, Authorization Code Flow (in Japanese)

インプリシットフロー

RFC 6749, 4.2. Implicit Grant で定義されているフローです。認可エンドポイントに認可リクエストを投げ、応答として直接アクセストークンを受け取るフローです。

動画： OAuth 2.0, Implicit Flow (in Japanese)

リソースオーナー・パスワード・クレデンシャルズフロー

RFC 6749, 4.3. Resource Owner Password Credentials Grant で定義されているフローです。トークンエンドポイントに認可リクエストを投げ、応答としてアクセストークンを受け取るフローです。OAuth のフローですが、クライアントアプリケーションがユーザーの ID とパスワードを受けとります。このフローについては、「OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る」の「Resource Owner Password Credentials Grant について」もご参照ください。

動画： OAuth 2.0, Resource Owner Password Credentials Flow (in Japanese)

クライアント・クレデンシャルズフロー

RFC 6749, 4.4. Client Credentials Grant で定義されているフローです。トークンエンドポイントに認可リクエストを投げ、応答としてアクセストークンを受け取るフローです。このフローでは、ユーザーの認証はおこなわれず、クライアントアプリケーションの認証のみがおこなわれます。

動画： OAuth 2.0, Client Credentials Flow (in Japanese)

リフレッシュトークンフロー

RFC 6749, 6. Refreshing an Access Token で定義されているフローです。事前に発行を受けていたリフレッシュトークンをトークンエンドポイントに提示することにより、アクセストークンの再発行を受けます。

動画： OAuth 2.0, Refresh Token Flow (in Japanese)

まとめ

フロー	認可エンドポイント	トークンエンドポイント	特徴
認可コード	使う	使う	短命の認可コードの発行を受け、トークンエンドポイントでアクセストークンと交換する。
インプリシット	使う	使わない	認可エンドポイントから直接アクセストークンの発行を受ける。
リソースオーナー・パスワード・クレデンシャルズ	使わない	使う	ユーザーの ID とパスワードをクライアントに渡す。
クライアント・クレデンシャルズ	使わない	使う	クライアントアプリの認証のみでアクセストークンの発行を受ける。
リフレッシュトークン	使わない	使う	リフレッシュトークンを提示してアクセストークンの再発行を受ける。

# **認可コードフロー**

RFC 6749, [4.1. Authorization Code Grant](https://tools.ietf.org/html/rfc6749#section-4.1) で定義されているフローです。認可エンドポイントに認可リクエストを投げ、応答として短命の認可コードを受けとり、その認可コードをトークンエンドポイントでアクセストークンと交換するフローです。

動画： [OAuth 2.0, Authorization Code Flow (in Japanese)](https://youtu.be/j0pIlZdD7-A)
![RFC6749-4_1-authorization_code_flow-Japanese.png](https://qiita-image-store.s3.amazonaws.com/0/106044/dadeaa4f-95e9-d7b7-a6c2-53824f23a94a.png)

# **インプリシットフロー**

RFC 6749, [4.2. Implicit Grant](https://tools.ietf.org/html/rfc6749#section-4.2) で定義されているフローです。認可エンドポイントに認可リクエストを投げ、応答として直接アクセストークンを受け取るフローです。

動画： [OAuth 2.0, Implicit Flow (in Japanese)](https://youtu.be/fF1mJB64xAg)
![RFC6749-4_2-implicit_flow-Japanese.png](https://qiita-image-store.s3.amazonaws.com/0/106044/c468054a-ce03-5cc4-5d29-9e1bd7f31c2b.png)

# **リソースオーナー・パスワード・クレデンシャルズフロー**

RFC 6749, [4.3. Resource Owner Password Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.3) で定義されているフローです。トークンエンドポイントに認可リクエストを投げ、応答としてアクセストークンを受け取るフローです。OAuth のフローですが、クライアントアプリケーションがユーザーの ID とパスワードを受けとります。このフローについては、「[OAuth 2.0 + OpenID Connect のフルスクラッチ実装者が知見を語る](http://qiita.com/TakahikoKawasaki/items/f2a0d25a4f05790b3baa)」の「[Resource Owner Password Credentials Grant について](http://qiita.com/TakahikoKawasaki/items/f2a0d25a4f05790b3baa#resource-owner-password-credentials-grant-%E3%81%AB%E3%81%A4%E3%81%84%E3%81%A6)」もご参照ください。

動画： [OAuth 2.0, Resource Owner Password Credentials Flow (in Japanese)](https://youtu.be/qS0YY9Fo04Q)
![RFC6749-4_3-resource_owner_password_credentials_flow-Japanese.png](https://qiita-image-store.s3.amazonaws.com/0/106044/a2a7dccd-3563-158c-b4ca-c28a0c1d0c66.png)

# **クライアント・クレデンシャルズフロー**

RFC 6749, [4.4. Client Credentials Grant](https://tools.ietf.org/html/rfc6749#section-4.4) で定義されているフローです。トークンエンドポイントに認可リクエストを投げ、応答としてアクセストークンを受け取るフローです。このフローでは、ユーザーの認証はおこなわれず、クライアントアプリケーションの認証のみがおこなわれます。

動画： [OAuth 2.0, Client Credentials Flow (in Japanese)](https://youtu.be/LLIMOYk5Syc)
![RFC6749-4_4-client_credentials_flow-Japanese.png](https://qiita-image-store.s3.amazonaws.com/0/106044/d26230c4-5245-e67e-7fa4-c36d6ba26c42.png)

# **リフレッシュトークンフロー**

RFC 6749, [6. Refreshing an Access Token](https://tools.ietf.org/html/rfc6749#section-6) で定義されているフローです。事前に発行を受けていたリフレッシュトークンをトークンエンドポイントに提示することにより、アクセストークンの再発行を受けます。

動画： [OAuth 2.0, Refresh Token Flow (in Japanese)](https://youtu.be/RncCqc-E_iM)
![RFC6749-6-refresh_token_flow-Japanese.png](https://qiita-image-store.s3.amazonaws.com/0/106044/df3df2eb-2c92-e374-cb3f-e8998b997abe.png)

# **まとめ**

| フロー | 認可エンドポイント | トークンエンドポイント | 特徴 |
|:--|:--|:--|:--|
| 認可コード | 使う | 使う | 短命の認可コードの発行を受け、トークンエンドポイントでアクセストークンと交換する。 |
| インプリシット | 使う | 使わない | 認可エンドポイントから直接アクセストークンの発行を受ける。 |
| リソースオーナー・パスワード・クレデンシャルズ | 使わない | 使う | ユーザーの ID とパスワードをクライアントに渡す。 |
| クライアント・クレデンシャルズ | 使わない | 使う | クライアントアプリの認証のみでアクセストークンの発行を受ける。 |
| リフレッシュトークン | 使わない | 使う | リフレッシュトークンを提示してアクセストークンの再発行を受ける。 |

TakahikoKawasaki

2040Contribution