RFC 8252
ネイティブアプリがOAuthによる認可を受ける際のいろいろについて語った書。 認可サーバからのリダイレクト先
RFC 8252では認可サーバからの情報はリダイレクトで受け取るのがおすすめされている。 OAuthではredirect_uriにurn:ietf:wg:oauth:2.0:oobを指定することで、認可後にリダイレクトせず認証用コードを表示するように要求できるのだが、RFC 8252のおすすめには入っていない。 プライベートURIスキーム
例 com.example.app:/oauth2redirect/example-provider
アプリに割り当てらえたhttpsスキームのURI
OSに組み込まれた方法によりhttpsで始まるURIが特定のアプリで開かれる。
アプリがそのURIを開くことについての正当性はOSが保証する。
この方法が使えるなら他の2つの方法よりも優先して使うべき。
認可サーバからはアプリが開いているのかブラウザが開いているのかわからない。
publicかconfidentialかはclient registrationの段階で決定する
例 https://app.example.com/oauth2redirect/example-provider
ループバックインターフェイス
Loopback redirect URIs use the "http" scheme and are constructed with the loopback IP literal and whatever port the client is listening on.
例 http://127.0.0.1:51004/oauth2redirect/example-provider
例 http://[::1]:61023/oauth2redirect/example-provider
認可サーバはどのポートが指定されてもリダイレクトしなければならない