標題の件ですが APIのOAUTH2.0でアクセストークンを発行するまでに 認証を2往復する意味を簡単に説明できる方がいましたらお教え下さいませ [添付画像の出典サイト] http://www.infoscoop.org/blogjp/2012/01/23/oauth2-0-web-application-flow%E3%81%AE%E5%AE%9F%E8%A3%85/ OAUTH2.0のアクセストークン取得の流れは 1.「クライアント」から「認証サーバ」にリダイレクト 2.「認証サーバ」から「認可コード」を発行後、「クライアント」にリダイレクト 3.「クライアント」から「APIサーバ」に認可コードで問い合わせ 4.「APIサーバ」から「アクセストークン」返却 5.「アクセストークン」を使ってAPIに接続 「認証サーバ」から直接「アクセストークン」が返却されれば手っ取り早いと思うのですが。 2往復することに、セキュリティ的な優位性があるのでしょうか?? なぜなら「認可コード」も有効期限を設けておかないと 盗まれたらアクセストークンを発行し放題になってしまうので 有効期限を設ける必要があると思いますが それなら別に「アクセストークン」のみの運用で問題ないのではないでしょうか? 詳しい方、ベテランの方ご教授下さいませ
↧