OAuth 2.0 と OpenID Connect の細かい話

このビデオについて

このビデオは、2021 年 11 月 17 日に開催された勉強会「OAuth 2.0 と OpenID Connect の細かい話: Authlete ナレッジベースから覗くプロファイリングの深淵」のプレゼンテーション録画です。

OAuth 2.0 / OpenID Connect (OIDC) をサービスに適用する際、必要となるのが「プロファイリング(詳細仕様化)」です。フレームワークである OAuth 2.0 はもちろん、その上に作られた OIDC であっても、仕様がスコープ外とする箇所や、仕様が示す複数の選択肢からどれを使うかは、サービスやビジネスの特性に応じて決めなくてはなりません。たとえば:

  • クライアントからのトークンリフレッシュ要求に対して認可サーバーが返却する、リフレッシュトークン (RT) の有効期限はどうする?
  • リソースオーナーの同意の下にクライアントに発行されたアクセストークン (AT1) が有効な状態で、さらにそのクライアントに AT2 を発行する際、すでに発行されていた AT1 はどう取り扱う?

この勉強会では、OAuth/OIDC サーバーを構築するための汎用的な API セットである Authlete の、ナレッジベースの記事を参照しながら、OAuth/OIDC プロファイリングのあれやこれやを紹介します。

リソース

資料ダウンロード