OAuth 2.0 暗黙的許可

tools.ietf.org/html/rfc6749#section-1.3.2

暗黙的フローは、以前ネイティブアプリや JavaScript アプリに推奨されていた簡略化された OAuth フローであり、追加の認証コード交換の手順なしでアクセス トークンがすぐに返されます。

クライアントが受信したことを確認せずに HTTP リダイレクトでアクセス トークンを返すことで生じるリスクがあるため、暗黙的フローの使用は推奨されず（一部のサーバーではこのフローが完全に禁止されています）。

ネイティブアプリや JavaScript アプリなどのパブリック クライアントでは、代わりに認証コード フローにPKCE 拡張機能を付加して使用する必要があります。

OAuth 2.0 セキュリティのベストプラクティス ドキュメントでは、暗黙的フローの利用が全面的に推奨されておらず、ブラウザベースのアプリ用の OAuth 2.0 では代わりに PKCE を使用した認証コード フローの使用手法が説明されています。

その他のリソース

• 動画: 暗黙的フローはどこへ行くのか Aaron Parecki
• OAuth 2.0 暗黙的フローはすでに死んだのか Aaron Parecki (developer.okta.com)
• OAuth 2 暗黙的許可と SPA Vittorio Bertocci (auth0.com)
• OIDC 認証コード フローの安全な利用とシングルページ アプリケーションを持つパブリック クライアント Robert Broeckelmann (pingidentity.com)
• OAuth 暗黙的許可の使用をやめるべき理由 (Torsten Lodderstedt)
• OAuth 2.0 暗黙的許可タイプとは (developer.okta.com)
• 廃止された暗黙的フロー (developer.yahoo.com)
• OAuth 2.0 セキュリティのベストプラクティス (ietf.org)
• ブラウザベースのアプリ用の OAuth 2.0 (ietf.org)
• シングルページ アプリケーション (aaronparecki.com)
• OAuth 2.0 プレイグラウンドで暗黙的許可
• 暗黙的フロー検出器 Chrome のブラウザ拡張機能