OAuth認可の流れ
Access Token再発行のためのフロー
4つのロール
e.g. user
e.g. 黒歴史クリーナー
e.g. Twitter
簡易的な説明
https://gyazo.com/4a78736aa0a2390cfe947e6aaddd68bf
「自分の代わりに、他のサービスと連携してください」のような旨を伝える感じ
権限をくださいと要求する
⑥で使うためのtokenを要求する
権限を与えることの承諾をする
要求されたものより減らして許可することもできる
これが本来の目的
②⑥部分のやりとりの仕様がOAuth
上の①~⑥は、OAuthを使った認可
①~⑤によって、Resource OwnerからClientに権限が委譲されている
だから⑥でClientはReseouce Ownerに代わってProtected Resourceとやりとりできる
「簡易的な説明」は細かいところをだいぶ端折っている
例えば、
①のresponseは何になるのか?
認可サーバーはどうやってuserとやりとりするのか?
認可サーバーとProtected Resourceはどうやってやりとりするのか?