kiririmode https://blog.hatena.ne.jp/kiririmode/ 理系学生日記 https://kiririmode.hatenablog.jp/ OAuth 2.0 における通信は基本的に TLS で守られるのが基本なのだけれど、ひとつ TLS で守られない通信があります。それは Client・User-Agent 間の通信です。 Authorization Code Grant においては、認可サーバから認可コードを受けた User-Agent がその情報をクライアントに渡すときに発生します。 Authlete via kwout Authlete さんの以下の図がすごくわかりやすいのですが、User-Agent (Operation System Browser) から Malicious App に認可コードが漏れていることがわか… 190 <iframe src="https://hatenablog-parts.com/embed?url=https%3A%2F%2Fkiririmode.hatenablog.jp%2Fentry%2F20170206%2F1486306800" title="OAuth2.0で認可コードの漏洩を防ぐPKCE - 理系学生日記" class="embed-card embed-blogcard" scrolling="no" frameborder="0" style="display: block; width: 100%; height: 190px; max-width: 500px; margin: 10px 0px;"></iframe> http://kwout.com/cutout/7/s5/d6/t94_bor_rou_sha.jpg Hatena Blog https://hatena.blog 2017-02-06 00:00:00 rich https://kiririmode.hatenablog.jp/entry/20170206/1486306800 1.0 100%