情報処理安全確保支援士(情報セキュリティスペシャリスト) 試験情報＆徹底解説

令和5年春午後2問2図4に関して不明点があり、質問です。

PKCEを実装するにあたり「(7)のリクエストに検証コードパラメータを追加」とありますが、
このパラメータに入れる"検証コード"は図4において誰が生成することになるのですか？
また、"検証コード"を生成するのが、(7)のリクエストを送信することになるWebサーバ以外である場合、
"検証コード"はどのタイミングでWebサーバに渡されるのですか？

動画や解説記事を調べたところ"検証コード"を生成するのはスマホアプリになるようなのですが、(6)の矢印に"検証コード"も含まれていたりするのでしょうか。

以上、よろしくお願い致します。

本問を色々調べてみましたが、確実な回答は見つかりませんでした。
理由ですが、スマホアプリと新日記サービスのWebサーバの作りに依存する部分が
大きく、処理フローだけでは処理を特定することができないと思われます。

一番シンプルに想定できる内容として
1.スマホアプリが検証コードとチャレンジチャレンジコードを生成する
2.スマホアプリが「(3)認可要求」にチャレンジコードとcode_challenge_method
  パラメータを付与し、Tサービスの認可サーバに送信する
3.スマホアプリが「(6)認可コード」に検証コードを付与し、新日記サービスの
  へWebサーバへ送信する
4.新日記サービスのWebサーバが「(7)アクセストークン要求」に検証コードを
  付与し、Tサービスの認可サーバに送信する
という処理の流れになります。

そのほかにも、OAuth2.0のフロー以外の場所でスマホアプリと新日記サービスの
Webサーバが情報をやり取りする仕組みがある可能性も考えられます。

pixさん

ご返信ありがとうございます。
やりように幅があり明確にこうとは言えないのですね。

問題で直接問われている箇所でないとはいえ、
何か見落としがあるのかともやもやしていたのですが、すっきり致しました。

クライアントサイドの実装をされているブログもあるのでソースコードが読めるなら見てみれば良いかもしれません。
ttps://swdrsker.hatenablog.com/entry/2023/01/25/173723
ttps://future-architect.github.io/articles/20221012a/
(先頭hを付与)