平成29年春期試験午前問題 午前Ⅱ 問14

午前Ⅱ 問14解説へ
特定の利用者が所有するリソースが,WebサービスA上にある。OAuth2.0において,その利用者の認可の下,WebサービスBからそのリソースへの限定されたアクセスを可能にするときのプロトコルの動作はどれか。

  • WebサービスAが,アクセストークンを発行する。
  • WebサービスAが,利用者のディジタル証明書をWebサービスBに送信する。
  • WebサービスBが,アクセストークンを発行する。
  • WebサービスBが,利用者のディジタル証明書をWebサービスAに送信する。
正解 問題へ
分野:テクノロジ系
中分類:セキュリティ
小分類:セキュリティ実装技術
OAuth2.0は、異なるドメインやプラットフォーム間で、 サードパーティアプリケーションによるHTTPサービスへの限定的なアクセスを可能にするオープンな認可フレームワークです。
14_1.gif
簡単に言うと利用者本人の認可の下、サードパーティアプリケーションに対してWebサービス側からアクセストークン(委任状のようなもの)が発行され、サードパーティアプリケーションが利用者に代わり、それを使用してWebサービス(API)にアクセスできるようにする仕組みです。

OAuth2.0では以下の3種類のロール(役)が登場します。
リソースオーナ (resource owner)
リソースサーバ内の保護された情報へのアクセスを許可するエンドユーザのこと。この設問では利用者が該当する。
リソースサーバ(resource server)
保護された情報を保持し、Webサービスを提供するアプリケーションのこと。リソースオーナを認証しクライアントにアクセストークンを発行する認可サーバ(authorization server)の役割を兼ねることが多い。この設問ではWebサービスAが該当する。
クライアント(client)
リソースオーナの認可を得てリソースサーバにアクセスするサードパーティアプリケーションのこと。この設問ではWebサービスBが該当する。
この設問におけるOAuth2.0のザックリしたフローは次のようになります。
  1. 利用者が、WebサービスBにアクセスする。
  2. WebサービスBは、利用者をWebサービスAにリダイレクトし、認証・認可手続きを促す。
  3. 利用者はWebサービスAで認証・認可手続きを行う。
  4. WebサービスAは、利用者からの認証・認可が得られると、WebサービスBに対してアクセストークンを発行する。
  5. WebサービスBは、アクセストークンなどを含めたHTTPリクエストをWebサービスAに送信する。
  6. WebサービスAは、HTTPリクエストが正当なものであるかを検証し、妥当であればリソースを含むHTTPレスポンスをWebサービスBに返す。
14_2.gif
したがって選択肢のうちOAuth2.0の動作として適切な記述は「ア」になります。

Webサイトにおいて「Twitterでログインする」「Facebookでログインする」などのSNSアカウントでログインする方法を見かけますが、これらは一般的にはOAuth(又はOpenID)を使用して実装されています。

この問題の出題歴


Pagetop