Bearer Token
べあらーとーくん
持参人トークン、署名なしトークン
/mrsekut-book-4798159298/453 (Chapter 10 よく狙われるOAuthトークンの脆弱性)
#WIP
セキュリティトークンのうちその利用可否が「トークンの所有」のみで決定されるもの
電車の切符的な #??
持ってさえすれば良い
誰であるかは問わない
Cookieと似ている箇所
平文の文字列を使用する
シークレットや署名は含まれない
シークレットってなに #??
TLSがセキュリティ・モデルの基盤になっている
Cookieと異なる点
CORSの制限がない?
攻撃
/mrsekut-book-4798159298/458
tokenの偽装
Token Forgery
偽のtokenを作成したり、既存のtokenを改竄したり
トークンのリプレイ
Replay攻撃
有効期限が切れた古いtokenを再度使うことを試みる
トークンの流用
Token Redirect
あるresource serverで有効なtokenを、別のresource serverで使用しようとする
tokenからの漏洩
Token Disclosure
#??
clientはどういう経路でbearer tokenを取得するの?
持ってさえ良いなら、簡単に奪取できそうな気もするけど
どの粒度で生成するの?
各userで別物?各requestで別物?
Bearer認証
RFC6750
https://ja.wikipedia.org/wiki/Bearer%E3%83%88%E3%83%BC%E3%82%AF%E3%83%B3
https://qiita.com/h_tyokinuhata/items/ab8e0337085997be04b1
https://qiita.com/uasi/items/cfb60588daa18c2ec6f5