令和5年秋期試験問題 午前Ⅱ 問14

OAuth2.0に関する記述のうち,適切なものはどれか。

  • 認可を行うためのプロトコルであり,認可サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
  • 認可を行うためのプロトコルであり,認可サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
  • 認証を行うためのプロトコルであり,認証サーバが,アクセスしてきた者が利用者(リソースオーナー)本人であるかどうかを確認するためのものである。
  • 認証を行うためのプロトコルであり,認証サーバが,利用者(リソースオーナー)の許可を得て,サービス(クライアント)に対し,適切な権限を付与するためのものである。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
解説
OAuth2.0は、あるWebサービスが保有しているリソースを、その利用者ユーザー本人の許可のもと、別のWebサービスでも利用できるように認可して連携するためのものです。認証は行わず、リソース単位で適切な権限を与えます。ユーザーが許可すると、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションはユーザーに代わりそれを使用してWebサービス(API)にアクセスします。

イメージしやすいものでは、あるWebサービスに新規登録する際、ID/PWでの登録の他にFacebookやGoogleアカウントでの新規登録もできます、と表示されている画面です。これにはOAuth2.0の仕組みが使われています。あるWebサービス(=FacebookやGoogle)が保有しているリソースを、その利用者(=あなた)が別のWebサービス(=新規登録するWebサービス)でも利用できるように認可して連携するのです。注意が必要なのは、認証(利用者本人の確認を行うこと)は行わず、認可(利用者に正しい権限を与えること)のみであるという点です。認可も認証も行うものにはOpenID Connectがあります。

また、OAuth2.0の午後問題でよく問われるのは、「OAuth2.0で認可を行う際のセキュリティ上の注意点」です。
  • 認可のみであり認証を行わないこと
  • 必要最小限の原則に則り、不要な権限を付与しないこと
したがって「イ」の説明が適切です。

Pagetop