OAuth 2.0

OAuth 2.0 ロゴ OAuth 2.0は、認証のための業界標準プロトコルです。OAuth 2.0は、クライアント開発者のシンプルさを重視しながら、Webアプリケーション、デスクトップアプリケーション、携帯電話、リビングルームデバイスに特定の認証フローを提供します。この仕様とその拡張は、IETF OAuthワーキンググループ内で開発されています。

OAuth 2.1 は、OAuth 2.0と多くの一般的な拡張機能を新しい名前で統合するための進行中の取り組みです。

質問、提案、プロトコルの変更については、メーリングリストで議論する必要があります。

ビデオコース: OAuth 2.0の基礎

アーロン・パレッキ著

OAuth 2.0

モバイルデバイスとその他のデバイス

ネイティブアプリ - ネイティブアプリでOAuthを使用するための推奨事項
ブラウザベースのアプリ - ブラウザベースのアプリ（例：SPA）でOAuthを使用するための推奨事項
デバイス認証グラント - ブラウザまたはキーボードのないデバイス向けのOAuth

トークンとトークン管理

アクセストークンのJWTプロファイル - RFC 9068、構造化アクセストークンの標準
トークンイントロスペクション - RFC 7662、トークンのアクティブ状態とメタ情報を判断するため
トークン失効 - RFC 7009、以前に取得したトークンが不要になったことを通知するため
JSON Webトークン (JWT) - RFC 7519
トークン交換 - RFC 8693

検出と登録

認証サーバーメタデータ - RFC 8414、クライアントがOAuthエンドポイントと認証サーバーの機能を検出するため
動的クライアント登録 - RFC 7591、OAuthクライアントをプログラムで登録するため
動的クライアント登録管理 - 実験的RFC 7592、動的に登録されたOAuthクライアントの更新と管理のため

高セキュリティOAuth

これらの仕様は、OAuth 2.0に加えてセキュリティプロパティを追加するために使用されます。

実験的およびドラフト仕様

以下の仕様は、実験的またはドラフト状態であり、まだアクティブなワーキンググループ項目です。RFCまたはBCPとして確定される前に変更される可能性があります。

追加の拡張機能

OAuth拡張パラメータレジストリ
OAuthアサーションフレームワーク - RFC 7521
SAML2ベアラートークン - RFC 7522、既存のIDシステムとの統合用
JWTベアラートークン - RFC 7523
認証サーバー発行者識別 - RFC 9207、認証レスポンスで認証サーバー識別子を示します
リッチ認証リクエスト (RAR) - RFC 9396

他のコミュニティからの関連作業

FAPI (OpenID Foundation)
WebAuthn - Web認証
パスキーは、パスワードなしでサービスにサインインする新しい方法です
HTTPメッセージ署名 - 汎用HTTPメッセージ署名仕様
検証可能なクレデンシャルのためのOpenID

コミュニティリソース

OAuth 2.0簡易版
OAuthに関する書籍
- OAuth 2.0 Simplified アーロン・パレッキ著
- OAuth 2 in Action ジャスティン・リッチャー、アントニオ・サンソ著
- Mastering OAuth 2.0 チャールズ・ビヒス著
- OAuth 2.0 Cookbook アドルフォ・エロイ・ナシメント著
The Nuts and Bolts of OAuth - アーロン・パレッキによるビデオコース

OAuth 2.0上に構築されたプロトコル

OpenID Connect (OpenID Foundation)
UMA 2.0 (Kantara)
IndieAuth (W3C)

コードとサービス

OAuth 2.0コードとサービス

OAuth 2.1

OAuth 2.1 - OAuth 2.0を統合および簡素化するための進行中のアップデート
OAuth 2.1の時代が到来 (アーロン・パレッキ著)

レガシー

OAuth 1.0および1.0a