bills memo

OAuth概要フロー(クライアント:ウェブサービス版)

by · 2025年4月2日

留意事項:この記事はOAuth実装について何ら保証するものではありません。参考にしたことによる責任は負いませんので、各自の判断で御利用ください。

OAuthのフローについて調べたものを自分なりに解釈して描いたフロー(図)です。誤りがあるかと思いますし、実装によっては差異もあるかと思います。

随時変更すると思いますので、記事末尾に変更履歴を記します。

OAuthの実現方法は各種存在しますが、この記事では以下を対象としています。他の方法(フロー)の既存記事については当記事末尾にリンクを記載しています。

  • OAuthフロー:認可コードグラント(PKCE/PAR/DPoPあり)
  • OAuthクライアントタイプ:Confidential
  • クライアント実装方式:ウェブサービス(OAuth関連リクエストの起点がサーバーサイド)
OAuthフロー:ウェブサービス

フロー図のソース(Gist)

変更履歴

  • 2025-04-05:
    • 「アクセストークンリクエスト」フロー部分で、アプリサーバーからユーザーエージェント、ユーザーエージェントからユーザーへの応答の説明文字列を修正
    • 「アクセストークン有効期間中のリクエスト」フロー部分で、アプリサーバーからユーザーエージェントへの応答の線種を修正(リクエスト示す実線→応答示す点線)
  • 2025-04-02:新規作成

他の方法(フロー)の既存記事

Comments

Join the conversation on Bluesky

  1. びるず
    びるず @bills-appworks.blue

    (「ではなく」が多いtypo) PublicクライアントのSPA、ネイティブアプリ、ブラウザレスデバイスも描いてみたい。

    2025年4月2日

タグ:

おすすめ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA