こんにちは、@p1assです。

GW 中に SPA で OAuth を使うときのプラクティスについて調べていたところ、OAuth2.0 for Browser-Based Apps という RFC の Internet-Draft を見つけました。

一通り読んでみたところ、現時点でのベストプラクティスが良い感じにまとまっていたので、興味深かったところを抜粋して紹介します。

こんにちは、@p1assです。

Twitter API の v2 が正式リリースされてから数ヶ月経ちました。

「Twitter API v2」が正式なTwitterの主要APIに ～申請不要の無償アクセスレベルも追加／既存の「Twitter API v1.1」は重要な不具合への対処のみに

　米Twitterは11月15日（現地時間）、「Twitter API v2」が正式にTwitterの主要APIになったと発表した。スペースやアンケート、プロフィールへのツイート固定といったv1.1では利用できなかった数多くの新しい機能やエンドポイントが追加されているという。

forest.watch.impress.co.jp

Twitter API v2 では様々な API が追加されていますが、中でも注目すべきは OAuth 2.0 対応だと思います。

OAuth 2.0 Authorization Code Flow with PKCE

developer.twitter.com

今までは OAuth 1.0a しか対応しておらず、他の OAuth 2.0 対応の認可サーバーと比較して使いづらいと感じていました。 今回の対応によって、OAuth 2.0 の Authorization Code Flow ( RFC6749 Section4.1)を利用した認可に対応し、より便利に認可をシステムに組み込めるようになりました。

また、スコープを細かく制御できるようになったため、今までのように不用意に多くの権限を要求する必要がなくなりました！ 現在対応しているスコープは以下の通りで、非常に細かくスコープを制御できることが分かります。

• tweet.read
• tweet.write
• tweet.moderate.write
• users.read
• follows.read
• follows.write
• offline.access
• space.read
• mute.read
• mute.write
• like.read
• like.write
• list.read
• list.write
• block.read
• block.write

というわけで、せっかく OAuth 2.0 に対応したことなので、実際に Authorization Code Flow を試してみようと思います。