OAuth
認証
ではなく
認可
のプロトコル
多くの場合、
認証
で相手を確認してから、
認可
するのでごっちゃにされやすい。
RFC6749
OAuthにおいて、
主権者はユーザー
。
ユーザーの許しがない限り、アプリケーションは何もする権利がない。
システムがユーザーより強い権限を持つ、よくあるシステムとは根本的に違う。
アプリケーションとAPIリソースの主権者が違うため。
概念
認可フローの種類
登場人物、エンドポイント
Resource Owner
Client
Redirect Endpoint
Authorization Server
Authorization Endpoint
Token Endpoint
Resource Server
資料
✅基礎からの OAuth 2.0
✅雰囲気でOAuth2.0を使っているエンジニアがOAuth2.0を整理して、手を動かしながら学べる本
https://ritou.hatenablog.com/entry/2020/12/01/000000