http://www.atmarkit.co.jp/fsmart/articles/oauth2/02.html
【図の抜粋】
上記のシーケンスを見ても分かるとおり、OAuth2.0は1.0と比較して以下の違いがある。
●リクエストトークンがまるごとなくなった。かわりに、認可コードを使用して、アクセストークンを取得している。
●OAuth1.0では、リクエストトークン、アクセストークンの取得時には必ず署名しなければならない仕様だった。OAuth2.0では、HTTPS通信を必須にすることで、署名しなくてよくなった(改ざんを防ぐことができる)。
<感想>
OAuth2.0は、SAML2.0で規定するWebブラウザSSOプロファイル(Artifactバインディング)に非常によく似たシーケンスである(認可コード=Artifact、アクセストークン=SAMLアサーションのようなイメージ)。
SAMLの認可アサーションも、他のWebサービスに伝播させれば、アクセストークンみたいな使い方ができると思う。ただし、SAMLはXMLベースなので、やっぱり軽量なのは、OAuth2.0だと考える。
0 件のコメント:
コメントを投稿