ぷらすのブログ

Tag OAuth

SPA で役立ちそうな OAuth 2.0 for Browser-Based Apps を読んだ

こんにちは、@p1assです。

GW 中に SPA で OAuth を使うときのプラクティスについて調べていたところ、OAuth2.0 for Browser-Based Apps という RFC の Internet-Draft を見つけました。

一通り読んでみたところ、現時点でのベストプラクティスが良い感じにまとまっていたので、興味深かったところを抜粋して紹介します。

続きを読む

Twitter API v2のOAuth 2.0 Authorization Code Flow with PKCEを試した

こんにちは、@p1assです。

Twitter API の v2 が正式リリースされてから数ヶ月経ちました。

Twitter API v2 では様々な API が追加されていますが、中でも注目すべきは OAuth 2.0 対応だと思います。

今までは OAuth 1.0a しか対応しておらず、他の OAuth 2.0 対応の認可サーバーと比較して使いづらいと感じていました。 今回の対応によって、OAuth 2.0 の Authorization Code Flow ( RFC6749 Section4.1)を利用した認可に対応し、より便利に認可をシステムに組み込めるようになりました。

また、スコープを細かく制御できるようになったため、今までのように不用意に多くの権限を要求する必要がなくなりました! 現在対応しているスコープは以下の通りで、非常に細かくスコープを制御できることが分かります。

  • tweet.read
  • tweet.write
  • tweet.moderate.write
  • users.read
  • follows.read
  • follows.write
  • offline.access
  • space.read
  • mute.read
  • mute.write
  • like.read
  • like.write
  • list.read
  • list.write
  • block.read
  • block.write

というわけで、せっかく OAuth 2.0 に対応したことなので、実際に Authorization Code Flow を試してみようと思います。

続きを読む
1