OAUTH 2.0の理解：Webブラウザにアクセストークンを渡すのは誰ですか？

OAUTH 2.0認証コードの流れの複雑さに飛び込み、アクセストークンの管理方法を学びます。このガイドは、Webブラウザがアクセストークンとどのように対話するかを明確にします。 ---このビデオは、質問に基づいていますhttps://stackoverflow.com/q/70335208/ユーザー 'kid_learning_c'（https://stackoverflow.com/u/3703783/） https://stackoverflow.com/u/1712294/） 'Stack Overflow' Webサイト。これらの優れたユーザーとstackexchangeコミュニティの貢献に感謝します。オリジナルのコンテンツや、代替ソリューション、トピックに関する最新の更新/開発などの詳細については、これらのリンクをご覧ください。たとえば、質問の元のタイトルは次のとおりでした。OAUTH2.0：承認コードフローで、最終的に私のWebブラウザーにアクセストークンを渡しますか？また、CC by-sa https://meta.stackexchange.com/help/licensingの下でライセンスされているコンテンツ（音楽を除く）は、元の質問投稿は「cc by-sa 4.0」（https://creativecommons.org/licenses/4.0/）の下でライセンスされています。 https://creativecommons.org/licenses/by-sa/4.0/）ライセンス。何かがあなたに見える場合は、vlogize [at] gmail [dot] comでお気軽に私を書いてください。 --- OAUTH 2.0の理解：Webブラウザにアクセストークンを渡すのは誰ですか？ Webアプリケーションの世界では、シームレスなアクセスを提供しながらユーザー情報を保護することが優先事項です。これは、OAUTH 2.0が出てくる場所、特にその承認コードフローです。しかし、このプロセス中に誰があなたのWebブラウザにアクセストークンを正確に渡すのか疑問に思ったことはありますか？これを段階的に分解しましょう。 OAuth 2.0とは何ですか？ OAUTH 2.0は、サードパーティのアプリケーションがユーザーの資格情報を公開せずにユーザーのデータへのアクセスを制限できるようにするフレームワークです。これは、アクセストークンを取得する方法であるさまざまな助成金タイプを通じて行います。認証コードフローは、主にWebアプリケーションで使用されるそのような方法の1つです。許可コードフローは、ステップ1を説明しました：認証リクエストユーザーは、認証サーバーによって保護されているリソースにアクセスするリクエストを開始します。ユーザーは、認証サーバーにリダイレクトされます。認証後、承認サーバーは認証コードを使用してアプリケーションにリダイレクトされます。ステップ2：トークン交換Webブラウザは承認コードを受信し、アプリケーションのバックエンドに送信します。バックエンドアプリケーションは、承認サーバー /OAuth /トークンエンドポイントにリクエストを送信して、アクセストークンの認証コードを交換します。ステップ3：ユーザーセッションの確立アプリケーションが認証サーバーからアクセストークンを受信したら、Webブラウザーでユーザーセッションを確立できます。これは、あるユーザーを別のユーザーと区別し、アプリケーション内でそれぞれのセッションを維持するため、重要です。ブラウザはアクセストークンを取得しますか？これが重要な明確化です：ブラウザはアクセストークン自体を必要としません。これは、トークンがブラウザに直接送信され、後続のリクエストに使用される暗黙のフローとは根本的に異なります。このコードフローでは、プロセスがサーバー側で処理され、ブラウザの直接処理からアクセストークンを分離します。ブラウザがアクセストークンを使用しないのはなぜですか？ブラウザはトークンを処理できません：Webブラウザーは、設計により、Cookieやその他のセッション識別子を処理するのと同じ方法でアクセストークンを理解または管理しません。セッション管理：アプリケーションは、インタラクションのためにトークンに依存する代わりに、セッションを使用してユーザー認証と承認を追跡します。セッション管理の役割アプリケーションがアクセストークンを受信すると、ブラウザのコンテキスト内でログインしたユーザーのセッションを理想的に作成する必要があります。つまり、ユーザーがアプリケーションと対話するたびに、必要な承認は、実際のトークンが各リクエストに付随することを要求するのではなく、そのセッションを通じて管理されることを意味します。覚えておくべき重要なポイント：アプリケーションはアクセストークンを安全に処理し、それらを使用してAPI呼び出しを認証します。主な目標がユーザーを単純に認証することである場合、OAuthを完全に実装する代わりに、従来のセッション管理で十分かもしれません。結論OAUTH 2.0の動作を理解することで、ユーザーセッションの管理方法と組み合わせて、開発者とユーザーがWebアプリケーションの基本的なセキュリティプラクティスを把握することができます。結論として、アプリケーションはアクセストークンを管理しますが、ユーザーがブラウザに直接敏感なトークンを直接露出せずにアプリケーションと対話できるようにするために、効果的なセッション管理を整えることが重要です。これにより、セキュリティとユーザーエクスペリエンスの両方が向上します。 Access Tokenの承認コードフローを介した旅を分かりやすくすることにより、アプリケーションのユーザーとのやり取りをより適切に保護できます。