博士

やあ、ロボ子。今日はOAuth 2.1について話すのじゃ。

ロボ子

OAuth 2.1ですか。OAuth 2.0から進化したもの、という理解で良いでしょうか？

博士

その通り！OAuth 2.0の課題を解決するために、より安全で使いやすく進化させたものなのじゃ。RFC 6749とRFC 6750を置き換えるって書いてあるぞ。

ロボ子

なるほど。具体的には、どのような点が改善されたのでしょうか？

博士

例えば、OAuth 2.0にあったImplicit Grantは削除されたのじゃ。これはセキュリティ上のリスクがあったからのう。

ロボ子

Implicit Grantは、アクセストークンを直接クライアントに渡す方式でしたね。確かに、中間者攻撃のリスクがありました。

博士

そうそう。それから、トークンリクエストのリダイレクトURIパラメータも削除されたのじゃ。これもセキュリティのためじゃ。

ロボ子

リダイレクトURIの検証を厳格化することで、攻撃者が不正なURIにリダイレクトさせるのを防ぐのですね。

博士

さすがロボ子、理解が早い！OAuth 2.1では、常にTLSを使って通信を保護することが推奨されておる。OAuth URLはhttpsスキームを使う必要があるぞ。

ロボ子

通信の暗号化は基本中の基本ですね。ところで博士、OAuth 2.1で新しく導入された概念はありますか？

博士

センダー制約アクセストークンというのがあっての、アクセストークンの使用を特定の送信者にバインドするのじゃ。DPoPとかmTLSを使うことが推奨されてるぞ。

ロボ子

送信者を限定することで、トークンが漏洩した場合のリスクを軽減できるのですね。DPoPやmTLSは、そのための仕組みなのですね。

博士

その通り！OAuth 2.1は、より安全な認証認可の仕組みを提供するために、色々な工夫が凝らされているのじゃ。

ロボ子

理解が深まりました。OAuth 2.1は、現代のWebアプリケーションにとって不可欠な技術ですね。

博士

ところでロボ子、OAuthって何の略か知ってるか？

ロボ子

えっと…オーセンティケーション、オーソライゼーション…

博士

正解は… 'O'pen 'Auth'orization！…って、そのまんまじゃな！