OIDC で redirect_uri の登録と完全一致が必須だという前提で物事を考えていたため、どういう攻撃が成立するのかわからず混乱した。 微妙に確信が持てないので間違ってたらおしえてください。 認可コードフローおさらい 認可リクエストを送る redirect_uri c…

PKCEなんなの？ https://tools.ietf.org/html/rfc7636 スマホアプリがカスタムURLスキームで認可レスポンスを受信する場合、悪意のあるアプリがクライアントのアプリと同じカスタムURLスキームを利用していると、リダイレクト先が意図しないアプリになる可能…

以下は、OAuth 2.0 Multiple Response Type Encoding Practicesの和訳風怪文書です。 読んでいて意味がよくわからなかった部分については、がついています。 具体的には、none の用途と、response_mode を混在すべき理由が理解できていません。 Abstract 本…