HOME»情報処理安全確保支援士掲示板»令和5年春午後2問2 図4に関しての質問
投稿する

令和5年春午後2問2 図4に関しての質問 [1196]

 朝が強いさん(No.1) 
令和5年春午後2問2図4に関して不明点があり、質問です。

PKCEを実装するにあたり「(7)のリクエストに検証コードパラメータを追加」とありますが、
このパラメータに入れる"検証コード"は図4において誰が生成することになるのですか?
また、"検証コード"を生成するのが、(7)のリクエストを送信することになるWebサーバ以外である場合、
"検証コード"はどのタイミングでWebサーバに渡されるのですか?

動画や解説記事を調べたところ"検証コード"を生成するのはスマホアプリになるようなのですが、(6)の矢印に"検証コード"も含まれていたりするのでしょうか。

以上、よろしくお願い致します。
2023.08.24 21:39
pixさん(No.2) 
SC ダイヤモンドマイスター
本問を色々調べてみましたが、確実な回答は見つかりませんでした。
理由ですが、スマホアプリと新日記サービスのWebサーバの作りに依存する部分が
大きく、処理フローだけでは処理を特定することができないと思われます。

一番シンプルに想定できる内容として
1.スマホアプリが検証コードとチャレンジチャレンジコードを生成する
2.スマホアプリが「(3)認可要求」にチャレンジコードとcode_challenge_method
  パラメータを付与し、Tサービスの認可サーバに送信する
3.スマホアプリが「(6)認可コード」に検証コードを付与し、新日記サービスの
  へWebサーバへ送信する
4.新日記サービスのWebサーバが「(7)アクセストークン要求」に検証コードを
  付与し、Tサービスの認可サーバに送信する
という処理の流れになります。

そのほかにも、OAuth2.0のフロー以外の場所でスマホアプリと新日記サービスの
Webサーバが情報をやり取りする仕組みがある可能性も考えられます。
2023.08.25 12:14
 朝が強いさん(No.3) 
pixさん

ご返信ありがとうございます。
やりように幅があり明確にこうとは言えないのですね。

問題で直接問われている箇所でないとはいえ、
何か見落としがあるのかともやもやしていたのですが、すっきり致しました。
2023.08.26 22:43
IPAさん(No.4) 
クライアントサイドの実装をされているブログもあるのでソースコードが読めるなら見てみれば良いかもしれません。
ttps://swdrsker.hatenablog.com/entry/2023/01/25/173723
ttps://future-architect.github.io/articles/20221012a/
(先頭hを付与)
2023.08.28 09:52

返信投稿用フォーム

スパム防止のためにスレッド作成日から30日経過したスレッドへの書込みはできません。
© 2014-2024 情報処理安全確保支援士ドットコム All Rights Reserved.

Pagetop