What's new with OAuth2.1 with Aaron Parecki
OAuth2.1は何かしらを新しく定義するものではなく、集めたもの
OAuth2.0は歴史とともにいくつもの派生RFCがうまれたが、そのため追いにくくなった
そのため、Current Best Practiceを集め(Consolidateし)2.1とした
その中の特筆すべきものあ
もともとモバイル向けだが、 auth code injection防御にもなるからモバイル以外にも使えるよ
Browser based app ( mobile app)
クライアントを信頼してはいけない。PKCEはサーバーサイドで検証するのがいい。Stateはしない
完全一致したredirect URLを必須化
クレデンシャルクライアントを設定: クレデンシャルはあるけど、Identityがチェックされてないクライアント
ImplicitとCredential Flowを除外
OAuthのアウトオズスコープになった
ID tonenとアクセストークンはちがうよ
Implicit flowの問題はaccess token injectionだよ
response typeのtoken指定は、tokenが盗まれる可能性があるよ
response_mode=form_postはある程度緩和してくれるよ
K8sトークンは良くないね