インプリシットグラント
概要
インプリシットクライアント向け
現在非推奨
パブリッククライアント向けのグラントタイプ
Webフロント側でのJavascriptアプリ
Android/iOSなどのネイティブアプリ
クライアントID、クライアントシークレットは安全に保存できない→クライアントの認証が行われない
特徴
クライアントの認証が行われない
一度のリクエストでアクセストークンの発行が行われる
リフレッシュトークンの発行ができない
再度アクセストークンを発行する時はもう一度インプリシットグラントフローを最初から行う
シーケンス
https://gyazo.com/66d1d10af8007521e5854b479aca45c5
8、9番の認可レスポンスの部分で アクセストークン を 含む URI が ブラウザー の リダイレクト を通して クライアント に 渡っ て いる こと が わかる と 思い ます。 この 部分 での アクセストークン の 漏洩 や 置き換え の リスク が ある ため、 セキュリティー 的 には 脆弱 に なっ て い ます。
参照