OAuth徹底入門 セキュアな認可システムを適用するための原則と実践

https://scrapbox.io/files/64aa8968b933c0001b6a3cba.png

学び

OAuth 2.0 が何者がわかる

特にどこまでが仕様で、どこまでが仕様ではない（慣習）なのかわかる

案外 OAuth 2.0 ってゆるい

普通の WEB アプリでよく見る OAuth 2.0 だけではなく、ネイティブアプリがクライアントになったり、バックエンドサービス間の OAuth など多種多様

その中にはこんなガバガバでいいのかみたいなのも含まれる

OAuth の攻撃手法も奇想天外

OAuth ダンスなど、そこを利用するのか、みたいな攻撃手法が学びになる

あとは不正確なコールバック URL（ドメインや URL の先頭一致しか見ていない） なども結構攻撃に利用しやすいことを知る

OpenID Connect !

正直一回呼んだだけでは完全に理解できた感はないけど、まぁそうかという感じ