#idcon mini vol.3 参加前にモヤモヤしとくメモ
参加前にみんなモヤモヤしておこうということで、 自分のモヤモヤを書き出してみた。
最近やってること
- OAuth2, OpenID Connect のお勉強
- Python で OAuth2, OIDC のライブラリっぽいものを作ってみる
最近のモヤモヤ
セッション管理&再認証どのくらいやる?
- ○○でログインしたあとのセッション管理
- アプリ単体でセッション管理? (Cookie)
- Access Token, ID Tokenまでチェックすべき?
- アプリセッションが開始しああと、OP側でアカウントがrevokeされたら?
- アプリ単体でセッション管理なら気づけない
- Access Token, ID Tokenまでチェックすれば気づける
- 定期的に再認証?(1hごととか?)
- 再認証は明示的?裏側で勝手に?
- Refresh Token を使って(裏側で勝手に)
- セッションのベリファイルーチン内で処理できそう。特別な検討は要 らない。
- Authorization Endpoint へリダイレクト(明示的)
- 認証画面にリダイレクト、アプリ画面へリダイレクトで復帰
- アプリ利用中の再認証
- 再認証後に戻ってくるページをどう指定する?
- クエリパラメータに指定
- redirect_uriを完全マッチさせられない問題が発生
- アプリセッションに戻り先URLを保存。特定のアプリURLを呼び出すと、 真の戻り先へリダイレクト
- これなら完全?ホント?
- リダイレクトで処理している限り、POSTデータの保存は難しい
Access Token のライフタイムはどのくらいがベスト?
- Access Token にどんな意味を持たせる?
- APIを1回だけ呼んでいいよって意味
- 短めの時間で発行
- ClientにAPIを(ずっと)使っていいよって意味
- 長めの時間で発行。だけどRefreshを併用して
- TechNight Vol.13で @_nat さんが言ってたアレは?
- https://twitter.com/paoneJP/status/441897363813056512
- 短めの Access Token を使っているから常に明示的に同意が取れる?
- 再度同意が必要なときは prompt=consent で Authorization Endpoint を呼びなおす?
まとめ
- こうやって書き出すと、やっぱり Covert Redirect の手前のところのモヤ モヤのような気がする。
- こんな私ですが、当日よろしくお願いします。